[reiner]

Heise.de Meldung vom 01.02.2004 13:07

Link : http://www.heise.de/...r/meldung/44226

MyDoom vs SCO = 1:0
*******************
Der angekündigte Angriff des MyDoom-Wurms gegen die Webseiten der SCO-Guppe zeigt Wirkung: Die Webserver des Unternehmens sind seit Stunden nicht erreichbar. Allerdings dürfte dies zumindest teilweise auch an Gegenmaßnahmen einiger Provider liegen, die Verkehr zu sco.com blockieren. Seit dem heutigen Sonntag greifen alle mit MyDoom infizierten Rechner massiv auf die Webseiten der SCO-Gruppe zu. In den ersten Stunden des Angriffs wurden die Webserver des Unternehmens nur langsamer, mittlerweile sind sie aber überhaupt nicht mehr zu erreichen. Das gilt für www.sco.com, ftp.sco.com genauso wie für www.caldera.com und ftp.caldera.com, welche auf die gleichen IP-Adressen zeigen.


Die SCO-Gruppe selbst bestätigt den Angriff in einer Stellungnahme: Seit Samstag Abend nimmt die Verkehrslast laufend zu, mittlerweile ist www.sco.com überhaupt nicht mehr erreichbar. Jeff Carlon von SCO erwartet, dass der Angriff noch eine Zeit andauert. "Während wir erwarten, dass dieser Angriff in den kommenden Wochen anhält, haben wir eine Reihe von Notfall-Plänen gegen das Problem, die wir ab Montag morgen in Kraft setzen werden."

Dass der Angriff funktioniert, ist nicht weiter verwunderlich: Beim britischen Sicherheitsdienstleister MessageLabs hat man mittlerweile über 14 Millionen Exemplare des Schädlings abgefangen -- damit bricht MyDoom alle Rekorde, was die Verbreitungsrate eines manuellen E-Mail-Wurms angeht.

Die kürzlich entdeckte B-Variante des Schädlings, die zusätzlich einen Denial-of-Service-Angriff gegen die Webseiten von Microsoft durchführen soll, verbreitet sich indessen kaum, sie taucht nach wie vor in so gut wie keiner Verbreitungsstatistik auf und die Webseiten von Microsoft sind auch nach wie vor erreichbar. Theoretisch sollte sich die B-Variante eigentlich noch stärker verbreiten, da sie neben dem üblichen Mail-Versand eine zusätzliche Verbreitungsmöglichkeit nutzt: MyDoom.b sucht aktiv nach den Hintertüren, die die A-Variante hinterlässt. Findet der Schädling solche, baut er darüber eine Verbindung zum infizierten Rechner auf und nistet sich dort selbst ein, indem er die A-Variante überschreibt. Nach einem Reboot ist dann nur noch die B-Variante des Schädlings aktiv.

Virenexperten vermuten inzwischen, dass sich die A-Variante nur deshalb so gut verbreiten konnte, weil sie "einen guten Start" hatte. Möglicherweise wurden die ersten MyDoom-Schädlinge über ein so genanntes IRC-Botnet freigesetzt -- über solche Botnets können Programme auf Tausenden Rechnern gleichzeitig aktiviert werden.

Doch weder der Denial-of-Service-Angriff noch die starke Verbreitung des Schädlings ist das gefährliche für den Anwender. Viel besorgniserregender sind die Hintertüren, die MyDoom in infizierte Systeme öffnet. Das BSI warnt Anwender, dass diese Hintertüren durchaus dafür genutzt werden können, um kritische Daten des Anwenders abzugreifen. Auch gibt es immer häufiger einen direkten Zusammenhang zwischen Spam und Schädlingen: Viele mit Schädlingen infizierte Rechner werden im nachhinein als Spam-Relays missbraucht.

Trotz des ausgesetzten Kopfgelds von insgesamt 500.000 Euro gibt es bislang keine Hinweise auf den Autor des Wurms. Zwar geht man mittlerweile davon aus, dass die ersten Exemplare des Schädlings in Russland aufgetreten sind, aber Rückschlüsse auf die Nationalität des Autors lässt das dabei kaum zu.

Die Ausbreitung von MyDoom beweist, dass Mail-Schädlinge, die man erst durch explizites Ausführen des Dateinanhangs aktivieren kann, immer noch ein gefährliches Verbreitungspotenzial besitzen. Dass der Schädling keinen offensichtlichen Schaden anrichtet (Löschen von Dateien oder ähnliches) ist das eigentlich Verhängnisvolle: Die für den Anwender unsichtbaren Hintertüren sind wesentlich gefährlicher als eine offensichtliche Schadfunktion, die den Anwender zum Handeln zwingt. Glücklicherweise nistet sich MyDoom so im System ein, dass man ihn auch manuell ohne allzu großen Aufwand wieder entfernen kann. Das BSI stellt eine Anleitung zum manuellen Entfernen zur Verfügung. Alternativ dazu kann ein Removal-Tool benutzt werden, um infizierte Rechner zu reinigen. Wir stellen das Tool von Symantec zur Entfernung von MyDoom.a und MyDoom.b über den FTP-Server von heise zur Verfügung, da gegebenenfalls die Symantec-Seiten durch den Schädling blockiert werden. (pab/c't)

[Meltdown]

Zitat (reiner: 01.02.2004, 14:12)

Die Ausbreitung von MyDoom beweist, dass Mail-Schädlinge, die man erst durch explizites Ausführen des Dateinanhangs aktivieren kann, immer noch ein gefährliches Verbreitungspotenzial besitzen.

Tja, warum machen die Leute das auch ? Das sich das nicht rumgesprochen hat allmählich. Selbst viele erfahrene Anwender scheinen das noch immer nicht begriffen
zu haben.

[Iso]

Bundespräsident Rau sollte in seiner Anspache zur Lage der Nation mal ein paar Worte über Spammails verlieren, damit auch jeder DAU mitbekommt, dass man net alle E-Mail Anhänge öffnen sollte!

[reiner]

Zitat : "Meltdown84"
"Selbst viele erfahrene Anwender scheinen das noch immer
nicht begriffen zu haben."

Antwort :
Darum halte ich das Einrichten eines extra Bereiches "Sicherheit"
für sinnvoll - mit allem , was da hineingehört :
1. - Einstellungen im Betriebssystem
2. - sinnvolle Software mit deren Einstellungen
3. - News mit den erforderlichen Konsequenzen für 1.+ 2.
4. - Fragen + Hilfe bei auftretenden Problemen etc.

Aber das scheint HIER BEI WF wirklich niemanden zu interessieren - siehe auch :

Thema: Sicherheit

[Dimension]

Hmm mit SCO hats den richtigen erwischt ...

Aber es ist mir echt ein Rätsel weshalb die Leute immer wieder diese netten Anhänge öffnen. Ich mein klar, teilweise haben sie die schön verpackt, so im Stil von "Neuer Bildschirmschoner" oder auch "Pornobild im Anhang" und Einsteiger rutscht dann halt mal der Finger aus. Ok.

Aber heute hab ich ein Mail in meinem Postfach gehabt "The message contains Unicode characters and has been sent as a binary attachment." mit nem Virus drin, ein ungetarntes EXE-File. Oder auch die junge Dame, die etwa 5x pro Tag das selbe Bild mit dem "Zugang zu meiner Webkam" schickt. Je billiger die Mails werden, umso schneller verbreiter sich solcher Schrott ...

Dieser Beitrag wurde von Dimension bearbeitet: 01. Februar 2004 - 18:03

[LeonMc]

ich hatte eingedlich noch nie einen virus B) habe auch kein firewall

[Meltdown]

Zitat (LeonMc: 01.02.2004, 18:17)

ich hatte eingedlich noch nie einen virus

Manche Original-CDs enthalten sogar Viren. Sowas gibts auch noch 2004.
Leider...

[Dimension]

Zitat (LeonMc: 01.02.2004, 18:17)

habe auch kein firewall

Postest du mal deine IP hier?

[The_Nightflyer]

Zitat (Dimension: 01.02.2004, 18:57)

Zitat (LeonMc: 01.02.2004, 18:17)

habe auch kein firewall

Postest du mal deine IP hier?

hab auch keine Softwarefirewall!

Ip.: 80.145.222.233

Ich warte!

[LeonMc]

für was



keine Softwarefirewall! aber ne HARDWARE Firewall

Dieser Beitrag wurde von LeonMc bearbeitet: 01. Februar 2004 - 19:02

[The_Nightflyer]

Zitat (LeonMc: 01.02.2004, 19:01)

keine Softwarefirewall! aber ne HARDWARE Firewall 

Bist nicht der einzige hier

[Meltdown]

Sobald es bei uns endlich DSL gibt, gehört ein Router bei
mir dann auch zum Hardware-Bestand.

Dieser Beitrag wurde von Meltdown84 bearbeitet: 01. Februar 2004 - 19:25

[Override]

Zitat (Meltdown84: 01.02.2004, 20:25)

Sobald es bei uns endlich DSL gibt, gehört ein Router bei
mir dann auch zum Hardware-Bestand.

Auf jeden Fall sehr sinnvoll. Ich muss es mir aber aus kosten und modding Gründen noch überlegen.

@reiner
Du könntest ja auch eigene "How to´s" in dem Forum posten die das Thema Sicherheit behandeln. Wäre auf jeden Fall sehr super wenn du das machen willst.

[mexxage]

@Override: Die 30-40 Eruo waeren mir die Sicherheit schon wert. Habe mir vor ueber einem Jahr einen zugelegt und muss sage, ich will nie wieder ohne ins Netz.