Das sollten Sie über den Mydoom Wurm wissen

Einstufung des Schweregrades: Mittel

Datum: 26. Jänner 2004

Aktualisiert: 28. Jänner 2004

Betroffene Produkte:

Microsoft Outlook
Microsoft Outlook Express
Web-basierte E-Mail Programme

Grund für diese Viruswarnung
Am 28. Jänner 2004 begann Microsoft mit der Untersuchung von Berichten über eine neue Variante des "Mydoom" oder "Novarg" Wurms, bekannt als Mydoom.B. Diese Variante verhindert den Zugang zu bestimmten Webseiten, darunter einige Microsoft.com Webseiten. Der Wurm versucht User dazu zu bringen, einen an der E-Mail angehängten Dateianhang zu öffnen. Wenn der Dateianhang ausgeführt wird, installiert der Wurm bösartigen Code auf dem System des Anwenders und sendet sich an alle Kontakte im Adressbuch des Anwenders.

Dieser Alarm wird aktualisiert sobald neue Informationen verfügbar werden.

Wie können Sie sich vor dem Wurm schützen?
Wenn Sie eine fragwürdige E-Mail mit einem Dateianhang erhalten, öffnen Sie diesen Dateianhang nicht. Wenn der Absender nicht bestätigen kann, dass die E-Mail gültig und der Dateianhang sicher ist, sollten Sie die Nachricht unverzüglich löschen. Wenn Sie eine fragwürdige Nachricht erhalten, die vorgibt von Microsoft zu stammen, beachten Sie, dass Microsoft niemals Software oder Updates über E-Mail Dateianhänge verteilt.

Zusätzlich sollten Sie die Funktionen um schadhafte Dateianhänge zu blockieren in den neuesten Versionen von Outlook und Outlook Express nutzen.

Outlook 2000 und Outlook XP
Outlook 2000 mit dem Service Pack 2 und Outlook XP mit dem Service Pack 1 enthalten die wichtigsten Updates um die Sicherheit in Outlook und anderen Office Programmen zu erhöhen. Dies inkludiert die Funktion des Blockierens von potentiell gefährlichen Typen von Dateianlagen. Das Programm kann konfiguriert werden, um Zip Dateien zu blockieren, tut dies aber nicht standardmäßig.

Installieren Sie die neuesten Office Updates

Standardmäßig ist diese Funktion in Outlook 2000 vor Service Release 1 (SR1) und Outlook 98 nicht enthalten. Sie können diese jedoch erhalten, indem Sie das Outlook E-Mail Sicherheits-Update installieren.

[/LINK NAME=http://www.microsoft.com/downloads/details.aspx?FamilyID=5C011C70-47D0-4306-9FA4-8E92D36332FE&displaylang=de]Outlook E-Mail Sicherheits-Update herunterladen[/URL]

Outlook 2002

Erfahren Sie, welche Attachements in Outlook 2002 blockiert werden

Outlook Express 6
Outlook Express 6 kann so konfiguriert werden, dass es potentiell gefährliche Attachements blockiert.

Erfahren Sie mehr über Virus-Schutz Funktionen in Outlook Express 6

Frühere Versionen von Outlook Express
Frühere Versionen von Outlook Express besitzen keine Funktion, die es erlaubt Attachements zu blockieren. Benutzern dieser Produkte wird dringend empfohlen, auf die neueste Version umzusteigen und sehr vorsichtig zu sein beim Öffnen unverlangter E-Mails mit Dateianhang.

Web-basierte E-Mail Dienste
Wenn Sie web-basierte E-Mail Dienste nutzen, sollten Sie eine Firewall eines Drittanbieters verwenden, um Ihren Computer vor dem Wurm zu schützen.

So können Sie feststellen ob Ihr Computer mit Mydoom.B infiziert ist
Um herauszufinden, ob Ihr Computer infiziert ist, folgen Sie den Schritten:

Für Windows XP

1. Klicken Sie auf Start und dann auf Suchen.
2. In der Wonach soll gesucht werden? Box klicken Sie auf Dateien und Ordnern
3. In der Gesamter oder Teil des Dateinamens Box geben Sie ctfmon.dll ein.

Für Windows 2000 und Windows NT4

1. Klicken Sie auf Start und dann auf Ausführen.
2. In der Öffnen Box geben Sie cmd ein.
3. Klicken Sie OK. Ein schwarzes Fenster mit der Befehlszeile öffnet sich und zeigt C:\....> gefolgt vom Cursor an.
4. Klicken Sie den Cursor an und geben Sie dir ctfmon.dll /a /s ein und drücken Sie Enter.
Warten Sie einen Moment:
- zeigt das Ergebnis Datei nicht gefunden, ist Ihr Computer nicht mit dem Mydoom.B infiziert
- zeigt das Ergebnis eine gefundene Datei und die Dateigröße, ist Ihr Computer infiziert und Sie sollten den untenstehenden Schritten folgen.

Für Windows 98 und Windows 95

1. Klicken Sie auf Start und dann auf Ausführen.
2. In der Öffnen Box geben Sie cmd ein.
3. Klicken Sie OK. Ein schwarzes Fenster mit der Befehlszeile öffnet sich und zeigt C:\....> gefolgt vom Cursor an.
4. Klicken Sie den Cursor an und geben Sie dir ctfmon.dll /a /s ein und drücken Sie Enter.
5. Warten Sie einen Moment:
-- Zeigt das Ergebnis Datei nicht gefunden, ist Ihr Computer nicht mit dem Mydoom.B infiziert
-- Zeigt das Ergebnis eine gefundene Datei und die Dateigröße, ist Ihr Computer infiziert und Sie sollten den untenstehenden Schritten folgen.

Was können Sie tun, wenn Ihr Computer infiziert ist?

Falls Ihr Computer infiziert ist versuchen Sie als erstes auf die Webseite Ihres Antivirus Software Herstellers zu gehen um das aktuelle Update herunterzuladen. Es kann sein, dass Sie nur die Virusdefinition Ihrer Antivirus Software aktualisieren müssen, um den Virus Mydoom.B zu erkennen und zu entfernen. Um Infektionen auch in Zukunft zu verhindern sollten Sie Ihre Virusdefinitionen immer auf dem neuesten Stand halten.

Sollte es Ihnen nicht möglich sein die Webseite Ihres Antivirus Software Herstellers zu erreichen und Sie die Infektion manuell beseitigen müssen folgen Sie diesen Schritten:

1. Klicken Sie auf Start und dann auf Ausführen.
2. In der Öffnen Box geben Sie cmd ein.
3. Klicken Sie auf OK. Ein schwarzes Fenster mit der Befehlszeile öffnet sich und zeigt C:\....> gefolgt vom Coursor an.
4. Klicken Sie den Cursor und
- Geben Sie ein: del /F %systemroot%\system32\drivers\etc\hosts
- Drücken Sie Enter
- Geben Sie ein: echo # Temporary HOSTS file >%systemroot%\system32\drivers\etc\hosts
- Drücken Sie Enter
- Geben Sie ein: attrib +R %systemroot%\system32\drivers\etc\hosts
- Drücken Sie Enter
5. Nachdem Sie die Befehle eingegeben haben, führen Sie eine folgender Aktionen durch:
- Wenn Ihr Betriebssystem Windows NT ist, starten Sie Ihren Computer neu.
- Wenn Ihr Betriebssystem Windows XP, Windows 2000 oder Windows 2003 ist, starten Sie Ihren Computer nicht neu.
Stattdessen machen Sie folgendes:
-- Geben Sie ein: ipconfig /flushdns
-- Drücken Sie Enter

Wenn Ihr Computer infiziert ist und Sie technische Hilfe benötigen, kontaktieren Sie Ihren Antivirus Programm Hersteller oder das Microsoft Product Support Service.

Produkt Support: www.microsoft.com/austria/support

Distributed Denial of Service- Angriff
Microsoft untersucht Meldungen, nach denen Computer, die mit der Mydoom.B Variante infiziert sind, einen Distributed Denial of Service-Angriff (DDoS) gegen Microsoft Webseiten vornehmen könnten. DDoS Angriffe erfolgen durch die Konzentration einer sehr großen Anzahl von Anfragen auf einen Punkt im Internet. Höchste Priorität setzt Microsoft darauf Kunden den Zugang zu Updates zu sichern. Diese finden Sie normalerweise unter Windows Update. Daher stellt Microsoft die Software-Updates auch im Microsoft Download Center zur Verfügung.

Weitere technische Details
Weitere technische Details über diesen Wurm erhalten Sie von Antivirus Software Herstellern, die an der Microsoft Virus Information Alliance (VIA) teilnehmen:

McAfee
Trend Micro
Symantec
Computer Associates

Nachdem pink nicht wirklich gut ankam habe ich es jetzt mit einem hellen blauen style versucht.

Mir gefällt er gut und er passt auch zu dem eisigen Wetter was zur Zeit ist.

Nicht wundern über den Header. Ist die Abkürzung von netboard.

Zum Style

Hallo ihr,

Und zwar suche ich schon seit stunden nach einen Gästebuch script was auf htm oder html läuft. Es sollte keine MySQL unterstützen und nur auf reines html oder htm laufen.
Die Gästebuch einträge sollen dann als txt datei abgespeichert werden. Es sollte ein Ip log so wie floot sperre enthalten und ein aussagekräftiges Admin bereich geben aber es sollte auch als Passwort geschützt sein das Admin bereich.

Währe super nett wenn ihr mir Helfen könnt :help:

Danke schon mal

Hallo ihr,

Und zwar sind weitere Viren in Umlauf.

Hier mal ein Direkt Link zu mir ins Forum. Da ich alle Aktuellen Viren die bis jetzt in Umlauf sind alles dort aufgelistet habe.

Dieser Post soll nicht zu werbung dienen sondern nur zur einer Informations Quelle für euch. Wer sich trotzdem Registrieren möchte kann dies gerne tun.

Hier der Direkt Link zu den Viren Warnungen:
Viren/Sicherheitslücken/Uptates & Sontiges...
Hier findest du alle Viren und Sicherheitslücken in Browsern, windows etc...

Rotkäppchen für Computerfans:
Es war einmal ein kleines, suesses Maedchen, das immer ein Kaeppchen aus rotem Samt trug. Aufgrund dieses Attributs erhielt es den symbolischen Namen “Rotkaeppchen“. Eines Tages sprach die Mutter: “Rotkaeppchen, die Gesundheit deiner Grossmutter hat einen Interrupt bekommen. Wir muessen ein Pflegeprogramm entwickeln und zur Grossmutter bringen, um das Problem zu loesen. Verirre dich jedoch nicht im Wald der alten Computersprachen, sondern gehe nur strukturiertre Wege! Nutze dabei immer eine Hochsprache der 4. Generation, dann
geht es deiner Grossmutter schnell wieder gut. Und achte darauf, dass dein Pflegeprogramm transaktioniert ist, damit es die Grossmutter nicht noch mehr belastet.
Da der Weg zum Haus der Grossmutter reentrent war, traf Rotkaeppchen den boesen Wolf. Er tat sehr benutzerfreundlich, hatte im Background jedoch schon einen Interrupt programmiert. Waehrend Rotkaeppchen einen Goto ins Blumenfeld machte, ging der Wolf im Direktzugriff zur Grossmutter und vereinnahmte sie unverzueglich durch einen Delete. Ohne zu zoegern gab er sich den Anschein zur Grossmutter kompatibel zu sein, indem er ihre logische Sicht annahm. Dann legte er sich in ihren Speicherplatz. Kurz danach lokalisierte auch Rotkaeppchen die Adresse der Grossmutter und trat in den Speicherraum. Vor der Installation des Pflegeprogramms machte Rotkaeppchen sicherheitshalber einen Verify und fragte: “Ei Grossmutter, warum hast du so grosse Ohren?“ “Damit ich die Wuensche der User besser canceln kann.“ “Ei Grossmutter, warum hast du so ein entsetzlich grosses Maul?“ “Damit ich dich besser canceln kann.“ ...sprach‘s und nahm das arme Ding als Input. Nach einem Logoff begab sich der Wolf zur Ruhe, schlief ein und begann laut zu schnarchen. Als der Jaeger auf seinem Loop durch den Wald am Hause der Grossmutter vorbeikam, sah er durch ein Window den Wolf im Bett liegen. “Finde ich dich hier, du alter Suender“, sprach er, “ich habe dich lange gesucht!“ Als Kenner der Szene analysierte er sofort, dass nach den Regeln der Boolschen Algebra die Grossmutter nur im Bauch des Wolfes sein konnte. Er nahm sein Messer, teilte den Bauch des Wolfes in mehrere Sektoren und machte, welch‘ Freude, Grossmutter und Rottkaeppchen wieder zu selbstaendigen Modulen. Als Input fuer den nun leeren Bauch des Wolfes nahmen sie viele kilobyte Steine und beendeten die Operation mit einem Close. Als der Wolf erwachte, verursachte ihm sein dermassen aufgeblaehter Hauptspeicher solche Schmerzen, dass er an Storage Violation jaemmerlrich zugrunde ging.
Da waren alle vergnuegt. Das Pflegeprogramm aktivierte die Grossmutter schnell. Rotkaeppchen aber dachte: “Du willst dein Lebtag lang nie wieder einen Goto machen, sondern nur noch strukturierte Wege gehen, wie es dir die Mutter gesagt hat.“

kann mir jemand sagen, wie ich neue tabellen in der phpmyadmin 2.2.6 versio hinbekomme?
Ich hab nur ne anleitung zu ner älteren fassung und durch google find ich nix.... :*(
thanx

EDIT: bekomme keine tabelle hin. Habe folgenden code!

Alias
Mimail.R, Novarg.A, Shimg, W32.Novarg.A@mm, W32/Mydoom@MM

Typ
Win32-Wurm

Erläuterung
W32/MyDoom-A ist ein Wurm, der sich per E-Mail verbreitet. Der Wurm sammelt
E-Mail-Adressen auf der Festplatte des Anwenders und verwendet in seinen E-Mails
zufällig gewählte Adressen für das Empfänger- als auch für das Sender-Feld. Die E-Mails haben folgende Merkmale:

Betreffzeilen, u.a.:
error
hello
hi
mail delivery
system
mail transaction failed
server report
tatus
test
[zufällig
gewählte Zeichen]

Texte
test
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.

Attachment-Namen,
u.a.:
body
data
doc
document
file
message
readme
test
[zufällig gewählte Zeichen]

Die angehängten Dateien haben die Erweiterungen BAT, CMD, EXE, PIF, SCR oder ZIP.

W32/MyDoom-A erstellt eine Datei namens taskmon.exe im System- oder temp-Ordner und fügt den folgenden Registrierungseintrag hinzu, so dass diese Datei jedes Mal ausgeführt wird, wenn Windows gestartet wird:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Taskmon = taskmon.exe

Bitte beachten Sie, dass es auf Windows 95/98/Me eine legitime Datei namens taskmon.exe im Windows-Ordner gibt.

W32/MyDoom-A legt außerdem eine Datei namens shimgapi.dll im temp- oder system-Ordner ab. Dies ist ein Backdoor-Trojaner, der von dem Wurm geladen wird und durch den sich Außenstehende mit dem TCP Port 3127 verbinden können. Die DLL fügt den folgenden Registrierungseintrag hinzu, so dass sie beim Start aktiviert wird:

HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\
Default= "<Speicherort der dll>"

Der Wurm kann sich auch in den freigegebenen Ordner der KaZaA Peer-to-Peer-Anwendung mit einem der folgenden Dateinamen und einer PIF-, EXE-, SCR- oder BAT-Erweiterung kopieren:
activation_crack
icq2004-final
nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
winamp5

W32/MyDoom-A erstellt eine Datei namens Message im temp-Ordner und startet Notepad, um den Inhalt anzuzeigen, der nicht mehr als eine Zusammenstellung zufälliger Bytes ist. Der Wurm fügt außerdem die folgenden Einträge zur Registrierung hinzu:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32

Zwischen dem 1. und dem 12. Februar 2004 versucht der Wurm, eine Denial-of-Service-Attacke gegen http://www.sco.com zu starten, indem er zahlreiche GET-Anfragen an den Webserver sendet.

Nach dem 12. Februar verbreitet sich W32/MyDoom-A nicht mehr, da in seinem Code ein Auslaufdatum festgesetzt ist. Allerdings ist dann immer noch die Backdoor-Komponente aktiv.

Wurm Beagle.A droht bis Ende Januar
Virenspezialisten warnen vor einem neuen Wurm mit hohem Verbreitungspotenzial. Zwar wird der mögliche Schaden durch W32.Beagle.A und auch seine bisherige Verbreitung als eher gering bezeichnet, doch beides könnte sich noch ändern. Erkennbar ist Beagle.A an der Betreffszeile "Hi" und dem kurzen Text "Test =)", gefolgt von einigen zufällig zusammengewürfelten Zeichen. Das Mail schliesst mit dem Ausdruck "Test, yep". Der Wurm selber verbirgt sich in einer angehängten EXE-Datei, die sich gemäss Informationen einiger Antiviren- Firmen als Taschenrechner tarne. Einmal gestartet, sucht der Schädling in wab-, htm-, html- und txt-Dateien nach E-Mail-Adressen und versendet sich an diese weiter. Zusätzlich schreibt er drei neue Keys in die Registry des Betriebssystems und versucht, eine Website aus einer fix einprogrammierten Liste von URLs zu erreichen. Dort startet er ein Script, dessen Auswirkungen noch nicht bekannt sind. Schliesslich installiert er ein Backdoor-Programm, das Port 6777 für spätere Zugriffe geöffnet lässt. Beagle.A enthält jedoch eine integrierte Alters-Guilloutine: Ist die Systemuhr auf ein Datum nach dem 27. Januar 2004 eingestellt, unternimmt der Wurm nichts. Vor Beagle.A in Acht nehmen müssen sich nur Benutzer von Microsoft-Betriebssystemen.

Ich wusste nicht genau in was für eine Kategorie ich das geben sollte, zur Not verschiebt es einfach.
Also, ich hab was neues gemacht. Im Prinzip nichts grosses, aber manche User freuen sich über sowas.
Jeder kann nun das komplette Tutorialarchiv von http://www.boldluck.at auf seiner Homepage einbinden. Das ganze funktioniert über ein I-Frame und mein Script.

Hier habe ich eine kleine Demo, wie die Ausgabe aussieht:
DEMO

Und hier habt ihr den Code mit dem ihr das Archiv auf eurer Homepage einfügen könnt:

http://www.mironov.net/pingu/pingu3.swf


Rekord 2141,2 m