[Barney]

Habe Heute Dienstag, 27. Januar 2004 21:45 eine Mail von [email protected] bekommen, Anhang: Norton AntiVirus hat folgenden Anhang entfernt: document.zip.
Der Anhang enthielt die Bedrohung W32.Novarg.A@mm.


W32.Novarg.A@mm
Entdeckt am: 26.01.2004
Zuletzt aktualisiert am: 27.01.2004

W32.Novarg.A@mm ist ein Massen-Mail-Wurm, der als Anhang einer E-Mail mit der Dateierweiterung .bat, .cmd, .exe, .pif, .scr oder .zip kommt.

Wenn ein Computer infiziert wird, richtet der Wurm eine Hintertür ("Backdoor") im System ein, indem er die TCP-Ports 3127 bis 3198 öffnet. Dadurch könnte ein Angreifer eine Verbindung zum Computer herstellen und ihn als Proxy verwenden, um Zugriff auf dessen Netzwerkressourcen zu erhalten.

Außerdem können über die Hintertür beliebige Dateien heruntergeladen und ausgeführt werden.

Der Wurm wird ab dem 1. Februar 2004 einen Denial-of-Service (Dos)-Angriff durchführen. Der Wurm ist so programmiert, dass er am 12. Februar 2004 aufhört, sich zu verbreiten.




--------------------------------------------------------------------------------
Hinweise:
Privatanwenderprodukte von Symantec, die Wurmblockierungsfunktionen unterstützen, entdecken diese Bedrohung automatisch beim Versuch, den Computer zu infizieren.
Symantec Security Response hat ein Entfernungsprogramm entwickelt, mit dem Infektionen von W32.Novarg.A@mm entfernt werden können.

--------------------------------------------------------------------------------

Auch bekannt als: W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend]

Typ: Wurm
Infektionslänge: 22.528 Byte

Betroffene Systeme: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Nicht betroffene Systeme: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x

Mehr: securityresponse.symantec.com

Dieser Beitrag wurde von Barney bearbeitet: 27. Januar 2004 - 22:37

[Meltdown]

Zitat (Barney: 27.01.2004, 22:29)

Anhang: Norton AntiVirus hat folgenden Anhang entfernt: document.zip.
Der Anhang enthielt die Bedrohung W32.Novarg.A@mm.

Himmel. NAV hat doch tatsächlich mal wieder einen User vor einem Virus
bewahrt.



Trotzdem: NAV übersieht zuviel. Ich hab das ja selbst gesehen bei älteren CDs
von mir. Ich hab da mal die aktuellen Scanner von Symantec drübergejagt.

Und hinterher mal AVK12. Rate mal wer mehr Troja (Dropper), Viren und FileBombs
gefunden hat.

Was soll ich da sagen ? Ist leider so...

[Rika]

Genau deswegen würde ich jetzt NAV erst recht als dumm erachten:
1. Mail-Checker ist vollkommen unnötig, solange man sich nicht auf die Sicherheitslücken in Outlook Express, Outlook oder in seltenen Fällen Eudora verlassen möchte. Dateianhänge sind so gefährlich wie heisse Herdplatte - wer sie anfasst, ist selber schuld.
2. Diese Mail-Checker verzögern unnötig die Verbindung zum Server sowie den Mailtransport und machen zudem POP/SMTP-over-SSL/TSL-Logins unmöglich.
3. Wie soll man denn den Wurm in einer kontrollierten Umgebung züchten und gegen SCO einsetzen, wenn man ich nicht mal bekommt, weil er gleich entfernt wird?

Dieser Beitrag wurde von Rika bearbeitet: 27. Januar 2004 - 22:53

[Dimension]

Zitat (Rika: 27.01.2004, 22:52)

1. Mail-Checker ist vollkommen unnötig, solange man sich nicht auf die Sicherheitslücken in Outlook Express, Outlook oder in seltenen Fällen Eudora verlassen möchte. Dateianhänge sind so gefährlich wie heisse Herdplatte - wer sie anfasst, ist selber schuld.

Naja, etwas gutes hat der Mailchecker schon, besonders wenn man bedenkt dass Norton in den Läden am meisten präsent ist und deshalb die Zielgruppe von E-Mail-Attachments (Einsteiger) wahrscheinlich zu diesem greifen werden.

[Meltdown]

Zitat (Rika: 27.01.2004, 22:52)

3. Wie soll man denn den Wurm in einer kontrollierten Umgebung züchten und gegen SCO einsetzen, wenn man ich nicht mal bekommt, weil er gleich entfernt wird?

Manchmal habe ich ja schon den Eindruck, das Du Virenzüchtung als Hobby betreibst...


Aber der Zweck heiligt die Mittel...

[Dimension]

Zitat (Meltdown84: 27.01.2004, 23:00)

Zitat (Rika: 27.01.2004, 22:52)

3. Wie soll man denn den Wurm in einer kontrollierten Umgebung züchten und gegen SCO einsetzen, wenn man ich nicht mal bekommt, weil er gleich entfernt wird?

Manchmal habe ich ja schon den Eindruck, das Du Virenzüchtung als Hobby betreibst...


Aber der Zweck heiligt die Mittel...

Jo, SCO hats verdient ...

Aber wie meinst du das @Rika mit "Viren züchten" - ich mein du kannst die disassemblieren oder in einer Sandbox ausführen, aber sonst?

[Meltdown]

Tja, Rika wird wohl auch tunlichst darauf achten, das die Viecher nicht aus
dem Käfig entweichen.

Aber frag besser Rika was er mit dem züchten andeuten wollte.

Ich bin froh wenn die erst gar nicht bei mir auf den Rechner wandern.
Große und allzu bekannte Tauschbörsen und "sonstige Umschlagsplätze" meide ich, soweit es geht.

Das Netz ist ja sowas von voll mit dem Zeug...

[Rika]

Naja, Code analysieren und lernen... Man findet zwar eher selten neue Ideen und Anregungen, aber manche Schmankerl sind schon dabei.
Bzw. bei kombinationsfähigen Macroviren mit VMware+Word+expectIT automatisch infizieren und hoffen, dass sich gute Kombinationen bilden.

Welche aktiv schreiben tue ich eher seltener, die Menge an möglichen ausnutzbaren Sicherheitslücken ist viel zu groß. In modernen Zeiten sowieso, weil selbst Lücken mit längst vorhandenen Patches meist offen stehen... Und von der Intelligenz eines DAUs gar nicht mal erst zu reden... Man kann sich einfach gar nicht entscheiden, was man alles aufnehmen soll und was nicht.

Also wirklich nur just for fun, um in der Übung zu bleiben. Bzw. um Virenscanner zu testen. Die Sigs von NAV sind ja so butterweich, ein einfaches Filling mit NOPs im Quellcode der Virii reicht schon aus, um die Erkennung zu umgehen

Dieser Beitrag wurde von Rika bearbeitet: 27. Januar 2004 - 23:21

[Meltdown]

Zitat (Rika: 27.01.2004, 23:18)

Bzw. bei kombinationsfähigen Macroviren mit VMware+Word+expectIT automatisch infizieren und hoffen, dass sich gute Kombinationen bilden.

Erinnert mich irgendwie an das Thema "Vogelgrippe".
Nur das Du anscheinend versuchst den Teufel rauszulocken.

Ein Fall für die WHO...

[Rika]

Naja, es gab zwar bislang nur einen erfolgreichen Macrovirus, der durch zufällige Kombination zweier Macroviren entstand... und auch ist Kombinierbarkeit mit allem anderen als Macroviren extremstens schweirg bis unmöglich... Dennoch ist der Ansatz sehr interessant und vor allem fruchtbar.

[Meltdown]

Das hat schon mal funktioniert ?
Haben die Virenscanner wenigstens hinterher angeschlagen ?

Bei AVK sollte dann ja wenigstens die Heuristik eingreifen.

[Rika]

Sicher. KAV, RAV, BD, McAfee, NOD32, AntiVir und Panda beherrschen das problemlos.
Trotzdem sollte man sich über eins klar sein: Bei starker Modifikation bzw. einem sauber komplett selbstgeschriebenen Virus mit gut durchdachter Tarnung nützen weder die besten Signaturen noch die beste Heuristik irgendwas. Auch ich hab problemlos welche gecodet, die absolut kein Scanner erkannte. Die seltensten Viren sind meist die heimlichen Helden der Virenautoren...

BTW, hier noch a nettes Schmankerl für eure Virenscanner vor dem Schlafengehen:
http://www.fefe.de/antivirus/42.zip
Wesssen Scanner das schafft, hat echt Respekt verdient.

Dieser Beitrag wurde von Rika bearbeitet: 27. Januar 2004 - 23:43

[Dimension]

Zitat (Rika: 27.01.2004, 23:38)

BTW, hier noch a nettes Schmankerl für eure Virenscanner vor dem Schlafengehen:
http://www.fefe.de/antivirus/42.zip
Wesssen Scanner das schafft, hat echt Respekt verdient. 

Nett, nett ... knapp 316 GB Mal gucken ob er morgen früh fertig ist, der PC läuft sowieso durch

Edit: Schick das mal jemandem mit aktiviertem Norton-Mail-Scanner
Edit2: Hab wieder abgebrochen, der hat die ganze Partition mit Tempfiles aufgefüllt und meine Tauschbörse mag keine vollen Harddisks ...

Dieser Beitrag wurde von Dimension bearbeitet: 28. Januar 2004 - 00:01

[Rika]

Hmm... Ich hab den Virenscanner abgeschaltetm das ganze manuell entpackt, per FC /B Identität festgestellt und somit von Dopplungen bereinigt... Und am Ende kam eine einfache DLL mit 40 Kb Code und 4 GB NOPs. Und die wurde korrekt analysiert.

Es gibt nicht umsonst eine Option für maximale Archivgrößen. Gerade damit auch nix für's Scannen erstmal entpackt wird, was man ohnehin entpacken wollte...

[Meltdown]

Und sowas wird immer häufiger...

Aber nette Art einen Scanner lahmzulegen...

Dieser Beitrag wurde von Meltdown84 bearbeitet: 28. Januar 2004 - 00:25