Sie sind vermutlich noch nicht im Forum angemeldet - Klicken Sie hier um sich kostenlos anzumelden  


Sie können sich hier anmelden
Dieses Thema hat 1 Antworten
und wurde 230 mal aufgerufen
 Lions-Stammtisch
C-Gam Offline

Master of CereMONI 5. Reihe
Suche & Biete Mod


Beiträge: 8.888

03.11.2003 11:59
W32.Mimail.C@mm und W32.Mimail.D@mm Antworten

Name: W32.Mimail.C@mm
Alias:
WORM_MIMAIL.C [Trend],
W32/Mimail.c@MM [McAfee],
Win32.Mimail.C [CA],
W32/Mimail-C [Sophos]

Art:
Wurm

Größe des Anhangs: 12.832 (UPX gepackt); 12.958 bytes (zip-File)
Betriebssystem:
Microsoft Windows

Art der Verbreitung: Massenmailing
Verbreitung:
mittel
Risiko:
mittel

Schadensfunktion:
Massenmailing, Denial of Service, Datendiebstahl

Spezielle Entfernung: Tool
bekannt seit: 31. Oktober 2003

Beschreibung:

W32.Mimail.C@mm ist eine Variante des W32.Mimail.A@mm-Wurms und wie das Original ein Internet-Wurm, der sich mit einer eigenen SMTP-Maschine über E-Mails verbreitet. Er sammelt Informationen und versendet diese via E-Mail. Außerdem wird versucht ein Denial of Service zu generieren.

Eine infizierte E-Mail hat folgende Charakteristik:

Von:
james@<lokale Domäne>

Die lokale Domäne wird versucht aus lokalen DNS-Dateien zu bestimmen.

Betreff:
Re[2]: our private photos [zufällige Buchstabenkombinationen]

Nachrichtentext:
Hello Dear!,
Finally i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're without ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James.
[die gleiche zufällige Buchstabenkombination wie im Betreff]


Anhang:
photos.zip

Bei der Infektion des Systems kopiert sich der Wurm unter dem Namen netwatch.exe in das Windows-Verzeichnis (Standard-Einstellung: Windows 95/98/Me/XP: C:\Windows; Windows NT/2000: C:\Winnt). Durch einen Eintrag in der Registrierung wird dafür gesorgt, dass bei jedem Neustart des Rechners der Wurm mitgestartet wird. Zusätzlich werden zwei weitere Dateien im Windows-Verzeichnis abgelegt:


zip.tmp: (12.958 bytes)
exe.tmp: (12.832 bytes)

Es werden in verschiedenen Dateien des Rechners E-Mail-Adressen gesammelt und in der Datei eml.tmp im Windows-Verzeichnis gespeichert. Der Wurm versucht sich an die gefundenen Adressen selbst zu versenden..

Als weitere Schadensfunktion wird auf dem Rechner gefundene Textstücke per E-Mail versendet.

Zuletzt wird versucht, Daten an eine der folgenden Internetadressen zu versenden und somit auf diese Adressen einen Denial of Service-Angriff zu starten.

darkprofit.net
http://www.darkprofits.net
darkprofitzs.com
http://www.darkprofits.com

Entfernungs-Programm
Von Symantec wird ein spezielles Entfernungs-Programm für W32.Mimail.C@mm und die anderen Varianten zum kostenlosen Download bereitgestellt.

Generelle Hinweise:

Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, daß die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

(Erstellt: 03.11.2003)


------------------------------------------------------
@CereMONIYa tyebya lyublyu


C-Gam Offline

Master of CereMONI 5. Reihe
Suche & Biete Mod


Beiträge: 8.888

03.11.2003 12:00
#2 RE:W32.Mimail.C@mm und W32.Mimail.D@mm Antworten

Name: W32.Mimail.D@mm
Alias:
WORM_MIMAIL.E [Trend],
W32/Mimail@MM [McAfee]

Art:
Wurm

Größe des Anhangs: 10.912 (zip File); 10.784 bytes (.doc.scr)
Betriebssystem:
Microsoft Windows

Art der Verbreitung: Massenmailing
Verbreitung:
mittel
Risiko:
mittel

Schadensfunktion:
Massenmailing, Denial of Service

Spezielle Entfernung: Tool
bekannt seit: 31. Oktober 2003

Beschreibung:

W32.Mimail.D@mm ist eine Variante des W32.Mimail.A@mm- und des W32.Mimail.C@mm-Wurms und wie diese beiden ein Internet-Wurm, der sich mit einer eigenen SMTP-Maschine über E-Mails verbreitet. Es wird versucht ein Denial of Service zu generieren.

Eine infizierte E-Mail hat folgende Charakteristik:

Von:
john@<lokale Domäne>

Die lokale Domäne wird aus lokalen DNS-Dateien extrahiert.

Betreff:
don't be late![zufällige Buchstabenkombinationen]

Nachrichtentext:
Hello Dear!,

Will meet tonight as we agreed, because on Wednesday I don't think I'll make it,
so don't be late. And yes, by the way here is the file you asked for.
It's all written there. See you.

[die gleiche zufällige Buchstabenkombination wie im Betreff]


Anhang:
readnow.zip

Bei der Infektion des Systems kopiert sich der Wurm unter dem Namen cnfrm.exe oder cnfrm33.exe in das Windows-Verzeichnis (Standard-Einstellung: Windows 95/98/Me/XP: C:\Windows; Windows NT/2000: C:\Winnt). Durch einen Eintrag in der Registrierung wird dafür gesorgt, dass bei jedem Neustart des Rechners der Wurm mitgestartet wird. Zusätzlich werden zwei weitere Dateien im Windows-Verzeichnis abgelegt:


zip.tmp: (10.912 bytes)
exe.tmp: (10.784 bytes)

Es werden in verschiedenen Dateien des Rechners E-Mail-Adressen gesammelt und in der Datei eml.tmp im Windows-Verzeichnis gespeichert. Der Wurm versucht, sich an die gefundenen Adressen selbst zu versenden..

Zuletzt wird versucht, Daten an eine der folgenden Internetadressen zu versenden und somit auf diese Adressen einen Denial of Service-Angriff zu starten.

fethard.biz
http://www.fethard.biz
spamhaus.org
http://www.spamhaus.org
spews.org
http://www.spews.org
spamcop.net
http://www.spamcop.net

Entfernungs-Programm
Von Symantec wird ein spezielles Entfernungs-Programm für W32.Mimail.D@mm und die anderen Varianten zum kostenlosen Download bereitgestellt.

Generelle Hinweise:

Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

(Erstellt: 03.11.2003)


C-Gam
------------------------------------------------------
@CereMONIYa tyebya lyublyu


 Sprung  

Xobor Xobor Forum Software
Einfach ein eigenes Forum erstellen
Datenschutz