# Virus Alert Category 4 - [email protected]/MyDoom



## Devilfrank (26 Januar 2004)

Security Response is currently investigating a new mass-mailing worm. Initial submissions have been received with file extensions of .exe, .pif, .scr, and .zip. Additional information will be made available as soon as possible. 
--------------------------------------------------------------------------------
Note: Symantec Consumer products that support Worm Blocking functionality automatically detect this threat as it attempts to spread.
--------------------------------------------------------------------------------
Type:  Worm 
Infection Length:  22,528 bytes 

Systems Affected:  Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP 
Systems Not Affected:  DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x 

http://securityresponse.symantec.com/avcenter/venc/data/[email protected]


----------



## technofreak (27 Januar 2004)

http://www.heise.de/newsticker/data/jk-27.01.04-000/


> Neuer Wurm Novarg/Mydoom verbreitet sich schnell
> 
> Ein neuer Mail-Wurm, der Windows-Rechner befällt, verbreitet sich gegenwärtig rasant im Internet.
> .....
> ...



http://vil.nai.com/vil/content/v_100983.htm
http://www.f-secure.com/v-descs/novarg.shtml
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R


----------



## technofreak (27 Januar 2004)

http://www.heise.de/newsticker/data/dab-27.01.04-001/


> Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen
> 
> Der neue Wurm MyDoom/Novarg zieht weiter seine Kreise. Die Virenexperten
> von Messagelabs wollen innerhalb der ersten zwanzig Stunden nach dem Ausbruch
> ...


----------



## technofreak (28 Januar 2004)

http://www.heise.de/newsticker/data/wst-28.01.04-000/


			
				Heise schrieb:
			
		

> SCO setzt Kopfgeld auf Wurm-Autor aus
> 
> Die SCO Group hat für Hinweise, die zur Ergreifung und Überführung des Urhebers
> des seit kurzem kursierenden Novarg- oder Mydoom-Wurmes führen, 250.000  US-Dollar
> ...



Also ran an die Bouletten, es lohnt sich


----------



## Rechenknecht (29 Januar 2004)

Ich tippe mal auf einen Linux-Benutzer.


----------



## Devilfrank (29 Januar 2004)

Kann sein - muss es aber nicht.
MyDoom_B (die Fortsetzung) soll am 03.02. Microsoft attackieren.
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]


----------



## Der Genervte (30 Januar 2004)

Devilfrank schrieb:
			
		

> Kann sein - muss es aber nicht.
> MyDoom_B (die Fortsetzung) soll am 03.02. Microsoft attackieren.
> http://securityresponse.symantec.com/avcenter/venc/data/[email protected]



Dann wird es eher ein Windows-User gewesen sein, der sich XP-Home im Laden gekauft hat - und BillyBoy nun seinen "Dank" zum Ausdruck bringen will.


----------



## Fidul (30 Januar 2004)

Es geht gegen SCO und M$ - also muß der Virenprogrammierer bei IBM sitzen und noch OS/2 benutzen.  8)


----------



## technofreak (30 Januar 2004)

*M$ zieht nach*

http://www.heise.de/newsticker/meldung/44168


			
				heise schrieb:
			
		

> *Microsoft setzt Kopfgeld auf Urheber des MyDoom-Wurms aus*
> "Dieser Wurm ist ein verbrecherischer Angriff", zeigte sich Microsoft-Vizepräsident
> und -Rechtsvertreter Brad Smith über Novarg/MyDoom empört. Der Wurm hatte sich seit Anfang
> der Woche rasant im Internet ausgebreitet und treibt auch heute noch sein Unwesen.
> ...


----------



## Counselor (3 Februar 2004)

Im Zusammenhang mit MyDoom ist lt. NTBugTraq ein Manko des Exchange Servers 5.5 aufgetaucht:

Das Internet wird in erheblichem Maße durch Rückmeldungen der Virenscanner (NDRs) belastet. Beim Exchange Server 5.5 kann man die NDRs nicht abstellen. Abhilfe ist unwahrscheinlich, da der Support für diesen Server in der Endphase ist (MS-Ticketnr: SRX040131604287). Der Fall wurde aber bei MS eskaliert.


----------



## Heiko (3 Februar 2004)

Das geht schon. Manche Firmen filtern solche NDR teilweise über Content Scanner.


----------



## Heiko (7 Februar 2004)

Mein Provider hat sich entschlossen, Doom direkt am Server zu filtern. Er hat aus den Problemen bei dem letzten Sturm gelernt. Ergebnis: Doom-freie Postfächer.


----------



## technofreak (7 Februar 2004)

http://www.spiegel.de/netzwelt/technologie/0,1518,285357,00.html


			
				Der Spiegel schrieb:
			
		

> *MyDoom-Hysterie legt sich langsam*
> Die von dem Wurm angerichteten Schäden sind offenbar deutlich geringer als zunächst befürchtet.
> Inzwischen bietet auch Microsoft einen MyDoom-Killer zum Download an - reichlich spät und
> auch nur für Windows 2000 und XP.
> ...


http://www.heise.de/newsticker/meldung/44400
Removal Tool
tf


----------



## technofreak (10 Februar 2004)

http://www.heise.de/newsticker/meldung/44457


> Microsoft von neuem Wurm attackiert
> Die Hersteller von Antivirensoftware haben vor einem weiteren Wurm Doomjuice gewarnt,
> der über die auf MyDoom-infizierten Windows-PCs geöffnete Hintertür auf Port 3127 einbricht
> Anders als der gestern gemeldete Wurm Deadhat deinstalliert er MyDoom (A oder B) nicht,
> ...


tf


----------



## Counselor (10 Februar 2004)

NAI hat den Doomjuice heute morgen als low-profiled eingestuft. Da dürfte also nicht viel zu erwarten sein.


----------



## Counselor (14 Februar 2004)

Heiko schrieb:
			
		

> Das geht schon. Manche Firmen filtern solche NDR teilweise über Content Scanner.



Nachdem MS eine Designänderung des Exchange Servers 5.x abgelehnt hat, empfiehlt NtBugtraq jetzt einen Frontendfilter auf Providerebene bzw einen MTA, der das LDAP nach der Epfängeradresse ausliest und Mails an unbekannte Empfänger verwirft. Außerdem besteht die Möglichkeit einer 'BitBucket Mailbox' und des direkten Filterns der MyDoom Mails.
http://assp.sourceforge.net/fom/cache/76.html
http://www.vamsoft.com/orf/tools.asp


----------



## Heiko (14 Februar 2004)

Das ist aber auch kein regelkonformes Verhalten.


----------



## Counselor (14 Februar 2004)

Heiko schrieb:
			
		

> Das ist aber auch kein regelkonformes Verhalten.



Diesem Argument begegnet NtBugTraq mit dem Hinweis, das Versenden von NDRs sei nach RFC 821 kein MUSS, sondern ein SOLL.
Außerdem reiche es bei ungültigen Empfängeradressen aus, einen 550er Fehler zurückzusenden und das Versenden einer NDR so dem MTA des Senders zu überlassen.


----------

