Es geht wieder einmal ein E-Mail-Wurm um: Er tarnt sich als Unicode-Nachricht (Hinweistext: "The message contains Unicode characters and has been sent as a binary attachment").
Das Attachment auf KEINEN FALL ANKLICKEN! Sofort löschen!
Mehr Infos gibt es z.B. bei Yahoo: (siehe
-------------------------------------------------------
#####################################
CERT-Bund -- Warn- und Informationsdienst
#####################################
Informationen zu Programmen mit Schadfunktionen
VIRINFO 04/02 vom 27.01.2004
Virus-Warnung - Virus-Beschreibung
Name: W32.Novarg.A@mm
Alias: W32/Mydoom@MM [McAfee]
WORM_MIMAIL.R [Trend]
Art: Wurm
Groesse des Anhangs: 22.528 Bytes
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing
Verbreitung: hoch
Risiko: mittel-hoch
Schadensfunktion: Massenmailing,
Installation eines Backdoors,
DOS Angriff gegen
Ueberschreiben von Systemdatei
Spezielle Entfernung: -
bekannt seit: 26. Januar 2004
Beschreibung:
W32.Novarg.A@mm ist ein Internet-Wurm, der sich in Dateien mit den
Endungen .bat, .cmd, .exe, pif, .scr und .zip versendet. Zusaetzlich
verbreitet er sich ueber das Filesharing-Programm KaZaA.
Bei der Infektion eines Systems erzeugt der Wurm die Datei shimgapi.dll
im Systemverzeichnis von Windows. Dieses Programm oeffnet die TCP-Ports
3127 bis 3198 und arbeitet als Proxy-Server. Damit hat ein Angreifer
die Moeglichkeit, den infizierten Rechner fernzusteueren. Ausserdem
kann dieses Backdoor weitere Dateien aus dem Internet laden
Am 1. Februar startet der Wurm eine Denial-of-Sevice-Attacke (DOS)
gegen eine bestimmte Internetseite. Ab dem 12. Februar verbreitet er
sich nicht weiter.
Durch den Registrierungs-Schluessel
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
InProcServer32 "(Default)" = %SysDir%\shimgapi.dll
wird die Backdoor-Datei gestartet, wenn Explorer.exe geoeffnet wird.
Das Windowsprogramm taskmon.exe im Systemverzeichnis von Windows wird
durch eine Kopie des Wurms ersetzt. Dieses startet automatisch durch
den Registrierungs-Schluessel
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
oder
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
mit dem Wert
TaskMon = %System%\taskmon.exe
Weiterhin wird die Datei message im Temp-Verzeichnis angelegt.
In Dateien mit den Endungen
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt
werden E-Mail-Adressen zur weiteren Verbreitung gesucht. Dabei werden
keine Adressen aus der Top-Level-Domain .edu verwendet. Novarg.A
verwendet zur Verbreitung seine eigene SMTP-Maschine.
Die E-Mail hat folgende Charakteristik:
Von:
Betreff:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Nachricht:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a
binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has
been sent as a binary attachment.
Name des Anhangs:
document
readme
doc
text
file
data
test
message
body
Datei-Endung
pif
scr
exe
cmd
bat
zip
Groesse des Anhangs: 22.528 Bytes
Novarg.A kopiert sich ausserdem in das Download-Verzeichnis von KaZaA
als Datei mit einem der folgenden Namen:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
und mit einer der folgenden Dateiendungen:
pif
scr
bat
exe
Generelle Hinweise:
Pruefen Sie bei E-Mails auch von vermeintlich bekannten bzw.
vertrauenswuerdigen Absendern, ob der Text der Nachricht auch zum
Absender passt (englischer Text von deutschem Partner, zweifelhafter
Text oder fehlender Bezug zu konkreten Vorgaengen etc.) und ob die
Anlage (Attachment) auch erwartet wurde.
Das BSI empfiehlt, den Versand/Empfang von ausfuehrbaren Programmen
(Dateierweiterungen wie .COM, .EXE, .BAT, ...) oder anderer Dateien,
die Programmcode enthalten koennen (Dateierweiterungen wie .DO*; XL*,
PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert,
dass die Datei vom angegebenen Absender geschickt und nicht von einem
Virus verbreitet wird. Weiter sollten Sie eine Personal Firewall
betreiben, die Verbindungen auf den genannten Ports nicht zulaesst.
Aktuelle Signaturen von Viren-Schutzprogrammen erkennen den Wurm.
Installieren Sie diese umgehend.
Weitere Informationen finden Sie auf der Webseite des BSI unter:
Fragen richten Sie bitte an
Virenmeldungen koennen Sie an
Mit freundlichen Gruessen
Ihr Team CERT-Bund
-----------------------------------------------------------------
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund
Telefon: +49-228-9582-444 / FAX: +49-228-9582-427
-----------------------------------------------------------------
==========================================
HINWEIS:
Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
===========================================
Nachricht bearbeitet (27.01.2004 10:04)