Virus Alert Category 4 - W32.Novarg.A@mm/MyDoom

[Devilfrank]

Security Response is currently investigating a new mass-mailing worm. Initial submissions have been received with file extensions of .exe, .pif, .scr, and .zip. Additional information will be made available as soon as possible.
--------------------------------------------------------------------------------
Note: Symantec Consumer products that support Worm Blocking functionality automatically detect this threat as it attempts to spread.
--------------------------------------------------------------------------------
Type: Worm
Infection Length: 22,528 bytes

Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Systems Not Affected: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x

http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

 

[technofreak]

http://www.heise.de/newsticker/data/jk-27.01.04-000/

Neuer Wurm Novarg/Mydoom verbreitet sich schnell

Ein neuer Mail-Wurm, der Windows-Rechner befällt, verbreitet sich gegenwärtig rasant im Internet.
.....
Die Antiviren-Firmen haben mittlerweile die Gefährlichkeit des Wurms hochgestuft,
da er sich offensichtlich sehr schnell verbreitet. Auf den Mail-Servern des Heise-Verlags
löste er beispielsweise bei den eingehenden Mails bereits den Wurm Sober.c in der Häufigkeit
des Auftretens ab. Für die Verbreitung scheint förderlich zu sein, dass sich der Wurm in Mails
versteckt, die nicht mit den üblichen Angeboten etwa für Filme, private Photos oder
Pornobildchen daherkommen.

http://vil.nai.com/vil/content/v_100983.htm
http://www.f-secure.com/v-descs/novarg.shtml
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R

 

[technofreak]

http://www.heise.de/newsticker/data/dab-27.01.04-001/

Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen

Der neue Wurm MyDoom/Novarg zieht weiter seine Kreise. Die Virenexperten
von Messagelabs wollen innerhalb der ersten zwanzig Stunden nach dem Ausbruch
1,2 Millionen Exemplare abgefangen haben. Zum Vergleich: Der E-Mail-Provider
Postini hat nach eigenen Angaben beim Ausbruch des Wurms Sobig.F am ersten Tag nur
1400 Exemplare registriert, den Höhepunkt erreichte der Wurm dort mit 3,5 Millionen Samples
pro Tag. Hochgerechnet könnte MyDoom Sobig.F in der Verbreitung also locker schlagen.

 

[technofreak]

http://www.heise.de/newsticker/data/wst-28.01.04-000/

SCO setzt Kopfgeld auf Wurm-Autor aus

Die SCO Group hat für Hinweise, die zur Ergreifung und Überführung des Urhebers
des seit kurzem kursierenden Novarg- oder Mydoom-Wurmes führen, 250.000 US-Dollar
Belohnung ausgesetzt. Im November 2003 hatte Microsoft ein ebenso hohes Preisgeld
ausgesetzt für Hinweise, die zur Verhaftung der Autoren der Würmer W32.Blaster
und Sobig führen.

Also ran an die Bouletten, es lohnt sich

 

[Rechenknecht]

Ich tippe mal auf einen Linux-Benutzer.

 

[Devilfrank]

Kann sein - muss es aber nicht.
MyDoom_B (die Fortsetzung) soll am 03.02. Microsoft attackieren.
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

 

[Der Genervte]

Kann sein - muss es aber nicht.
MyDoom_B (die Fortsetzung) soll am 03.02. Microsoft attackieren.
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

Dann wird es eher ein Windows-User gewesen sein, der sich XP-Home im Laden gekauft hat - und BillyBoy nun seinen "Dank" zum Ausdruck bringen will.

 

[Fidul]

Es geht gegen SCO und M$ - also muß der Virenprogrammierer bei IBM sitzen und noch OS/2 benutzen. 8)

 

[technofreak]

M$ zieht nach

http://www.heise.de/newsticker/meldung/44168

Microsoft setzt Kopfgeld auf Urheber des MyDoom-Wurms aus
"Dieser Wurm ist ein verbrecherischer Angriff", zeigte sich Microsoft-Vizepräsident
und -Rechtsvertreter Brad Smith über Novarg/MyDoom empört. Der Wurm hatte sich seit Anfang
der Woche rasant im Internet ausgebreitet und treibt auch heute noch sein Unwesen.
Die Variante MyDoom.B soll nicht nur wie das Original eine DoS-Attacke auf die Server von SCO,
sondern auch auf die von Microsoft starten. Nun setzt Microsoft eine Belohnung von
250.000 US-Dollar aus für denjenigen, der Informationen liefert, die zur Ergreifung
und Verurteilung des Urhebers von MyDoom.B führen.

 

[Counselor]

Im Zusammenhang mit MyDoom ist lt. NTBugTraq ein Manko des Exchange Servers 5.5 aufgetaucht:

Das Internet wird in erheblichem Maße durch Rückmeldungen der Virenscanner (NDRs) belastet. Beim Exchange Server 5.5 kann man die NDRs nicht abstellen. Abhilfe ist unwahrscheinlich, da der Support für diesen Server in der Endphase ist (MS-Ticketnr: SRX040131604287). Der Fall wurde aber bei MS eskaliert.

 

[Heiko]

Das geht schon. Manche Firmen filtern solche NDR teilweise über Content Scanner.

 

[Heiko]

Mein Provider hat sich entschlossen, Doom direkt am Server zu filtern. Er hat aus den Problemen bei dem letzten Sturm gelernt. Ergebnis: Doom-freie Postfächer.

 

[technofreak]

http://www.spiegel.de/netzwelt/technologie/0,1518,285357,00.html

MyDoom-Hysterie legt sich langsam
Die von dem Wurm angerichteten Schäden sind offenbar deutlich geringer als zunächst befürchtet.
Inzwischen bietet auch Microsoft einen MyDoom-Killer zum Download an - reichlich spät und
auch nur für Windows 2000 und XP.
.....
Befürchtungen, dass Mydoom die Computer der Flugüberwachung oder die Stromversorgung
in Teilen der Welt lahm legen könnte, bestätigten sich nicht.
Anfängliche Schätzungen der Schäden auf 20 bis 40 Milliarden US-Dollar
gelten inzwischen als überzogen. "Der Sobig-Wurm hat etwa 50 Millionen Dollar für
verlorene Produktivität und seine Beseitigung gekostet", sagt John Pescatore,
Bereichsleiter für Internetsicherheit bei der Beratungsfirma Gartner. Die Kosten
für Mydoom seien etwa fünf Mal so hoch, schätzt er. Bei Network Associates,
einem Spezialisten für Netzwerksicherung, geht man davon aus, dass bis zu einer halben
Million Computer von Mydoom.A infiziert wurden.

http://www.heise.de/newsticker/meldung/44400
Removal Tool
tf

 

[technofreak]

http://www.heise.de/newsticker/meldung/44457

Microsoft von neuem Wurm attackiert
Die Hersteller von Antivirensoftware haben vor einem weiteren Wurm Doomjuice gewarnt,
der über die auf MyDoom-infizierten Windows-PCs geöffnete Hintertür auf Port 3127 einbricht
Anders als der gestern gemeldete Wurm Deadhat deinstalliert er MyDoom (A oder B) nicht,
sondern koexistiert mit den ersten Varianten. Zusätzlich startet er eine Denial-of-Service-Attacke
gegen www.microsoft.com.
Am gestrigen Montagvormittag waren die Webserver von Microsoft schwer zu erreichen.
Nach Angaben von Netcraft sei dies schon auf die Attacken des neuen Wurms zurückzuführen.

tf

 

[Counselor]

NAI hat den Doomjuice heute morgen als low-profiled eingestuft. Da dürfte also nicht viel zu erwarten sein.

 

[Counselor]

Das geht schon. Manche Firmen filtern solche NDR teilweise über Content Scanner.

Nachdem MS eine Designänderung des Exchange Servers 5.x abgelehnt hat, empfiehlt NtBugtraq jetzt einen Frontendfilter auf Providerebene bzw einen MTA, der das LDAP nach der Epfängeradresse ausliest und Mails an unbekannte Empfänger verwirft. Außerdem besteht die Möglichkeit einer 'BitBucket Mailbox' und des direkten Filterns der MyDoom Mails.
http://assp.sourceforge.net/fom/cache/76.html
http://www.vamsoft.com/orf/tools.asp

 

[Heiko]

Das ist aber auch kein regelkonformes Verhalten.

 

[Counselor]

Das ist aber auch kein regelkonformes Verhalten.

Diesem Argument begegnet NtBugTraq mit dem Hinweis, das Versenden von NDRs sei nach RFC 821 kein MUSS, sondern ein SOLL.
Außerdem reiche es bei ungültigen Empfängeradressen aus, einen 550er Fehler zurückzusenden und das Versenden einer NDR so dem MTA des Senders zu überlassen.