Community-of-Darkness

MyDoom vs SCO = 1:0

[01.02.2004 13:07]

Der angekündigte Angriff des MyDoom-Wurms gegen die Webseiten der SCO-Guppe zeigt Wirkung: Die Webserver des Unternehmens sind seit Stunden nicht erreichbar. Allerdings dürfte dies zumindest teilweise auch an Gegenmaßnahmen einiger Provider liegen, die Verkehr zu sco.com blockieren. Seit dem heutigen Sonntag greifen alle mit MyDoom infizierten Rechner massiv auf die Webseiten der SCO-Gruppe zu. In den ersten Stunden des Angriffs wurden die Webserver des Unternehmens nur langsamer, mittlerweile sind sie aber überhaupt nicht mehr zu erreichen. Das gilt für www.sco.com, ftp.sco.com genauso wie für www.caldera.com und ftp.caldera.com, welche auf die gleichen IP-Adressen zeigen.

Die SCO-Gruppe selbst bestätigt den Angriff in einer Stellungnahme[1]: Seit Samstag Abend nimmt die Verkehrslast laufend zu, mittlerweile ist www.sco.com überhaupt nicht mehr erreichbar. Jeff Carlon von SCO erwartet, dass der Angriff noch eine Zeit andauert. "Während wir erwarten, dass dieser Angriff in den kommenden Wochen anhält, haben wir eine Reihe von Notfall-Plänen gegen das Problem, die wir ab Montag morgen in Kraft setzen werden."

Dass der Angriff funktioniert, ist nicht weiter verwunderlich: Beim britischen Sicherheitsdienstleister MessageLabs[2] hat man mittlerweile über 14 Millionen Exemplare des Schädlings abgefangen -- damit bricht MyDoom alle Rekorde, was die Verbreitungsrate eines manuellen E-Mail-Wurms angeht.

Die kürzlich entdeckte B-Variante[3] des Schädlings, die zusätzlich einen Denial-of-Service-Angriff gegen die Webseiten von Microsoft durchführen soll, verbreitet sich indessen kaum, sie taucht nach wie vor in so gut wie keiner Verbreitungsstatistik auf und die Webseiten von Microsoft sind auch nach wie vor erreichbar. Theoretisch sollte sich die B-Variante eigentlich noch stärker verbreiten, da sie neben dem üblichen Mail-Versand eine zusätzliche Verbreitungsmöglichkeit nutzt: MyDoom.b sucht aktiv nach den Hintertüren, die die A-Variante hinterlässt. Findet der Schädling solche, baut er darüber eine Verbindung zum infizierten Rechner auf und nistet sich dort selbst ein, indem er die A-Variante überschreibt. Nach einem Reboot ist dann nur noch die B-Variante des Schädlings aktiv.

Virenexperten vermuten inzwischen, dass sich die A-Variante nur deshalb so gut verbreiten konnte, weil sie "einen guten Start" hatte. Möglicherweise wurden die ersten MyDoom-Schädlinge über ein so genanntes IRC-Botnet freigesetzt -- über solche Botnets können Programme auf Tausenden Rechnern gleichzeitig aktiviert werden.

Doch weder der Denial-of-Service-Angriff noch die starke Verbreitung des Schädlings ist das gefährliche für den Anwender. Viel besorgniserregender sind die Hintertüren, die MyDoom in infizierte Systeme öffnet. Das BSI warnt[4] Anwender, dass diese Hintertüren durchaus dafür genutzt werden können, um kritische Daten des Anwenders abzugreifen. Auch gibt es immer häufiger einen direkten Zusammenhang zwischen Spam und Schädlingen: Viele mit Schädlingen infizierte Rechner werden im nachhinein als Spam-Relays missbraucht.

Trotz des ausgesetzten Kopfgelds von insgesamt 500.000 US-Dollar gibt es bislang keine Hinweise auf den Autor des Wurms. Zwar geht man mittlerweile davon aus, dass die ersten Exemplare des Schädlings in Russland aufgetreten sind, aber Rückschlüsse auf die Nationalität des Autors lässt das dabei kaum zu.

Die Ausbreitung von MyDoom beweist, dass Mail-Schädlinge, die man erst durch explizites Ausführen des Dateinanhangs aktivieren kann, immer noch ein gefährliches Verbreitungspotenzial besitzen. Dass der Schädling keinen offensichtlichen Schaden anrichtet (Löschen von Dateien oder ähnliches) ist das eigentlich Verhängnisvolle: Die für den Anwender unsichtbaren Hintertüren sind wesentlich gefährlicher als eine offensichtliche Schadfunktion, die den Anwender zum Handeln zwingt. Glücklicherweise nistet sich MyDoom so im System ein, dass man ihn auch manuell ohne allzu großen Aufwand wieder entfernen kann. Das BSI stellt eine Anleitung zum manuellen Entfernen[5] zur Verfügung. Alternativ dazu kann ein Removal-Tool benutzt werden, um infizierte Rechner zu reinigen. Wir stellen das Tool von Symantec zur Entfernung von MyDoom.a und MyDoom.b über den FTP-Server von heise zur Verfügung[6], da gegebenenfalls die Symantec-Seiten durch den Schädling blockiert werden.

Siehe dazu auch:

* Removal-Tool[7] für MyDoom.a und MyDoom.b
* Microsoft setzt Kopfgeld auf Urheber des MyDoom-Wurms aus[8]
* Neue Variante des Wurms MyDoom/Novarg zielt auf Microsoft[9]
* MyDoom/Novarg -- Tipps zur Wurmkur und weitere Details[10]
* BSI-Pressemitteilung[11] zu MyDoom[12]
* Hinweise des BSI zum manuellen Entfernen von MyDoom[13]
* Stellungnahme[14] von SCO zum Denial-of-Service-Angriff

(pab[15]/c't)

URL dieses Artikels:
http://www.heise.de/newsticker/meldung/44226

Links in diesem Artikel:
[1] http://ir.sco.com/ReleaseDetail.cfm?ReleaseID=127861
[2] http://www.messagelabs.com
[3] http://www.heise.de/security/news/meldung/44114
[4] http://www.bsi.bund.de/presse/pressinf/mydoom300104.htm
[5] http://www.heise.de/security/artikel/44203
[6] ftp://ftp.heise.de/pub/ct/spezial/FxMydoom.exe
[7] ftp://ftp.heise.de/pub/ct/spezial/FxMydoom.exe
[8] http://www.heise.de/security/news/meldung/44168
[9] http://www.heise.de/security/news/meldung/44114
[10] http://www.heise.de/security/news/meldung/44092
[11] http://www.bsi.bund.de/presse/pressinf/mydoom300104.htm
[12] http://www.heise.de/security/artikel/44203
[13] http://ir.sco.com/ReleaseDetail.cfm?ReleaseID=127861
[14] mailto:pab@ct.heise.d

weil se keine Ahnung haben... und vor allem sau neugierig sind... und dumm...

der Blaster greift das RPC von Windows an. Das geht ohne eMailanhänge. Die Firewall kann vor dem blaster nur schützen, wenn diese richtig eingestellt ist. Der Blaster greift UDP- und TCP-Ports 135 bis 139 und 445 an. Wenn du in der DOS-Eingabeaufforderung (WNT/2k/XP) mal "netstat -n -a" eingibst, findest du 2 der Ports:

TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN

Wenn jetzt die Firewall aus welchen Grund auch immer diese Ports für das i-net freigibt, dann kann darauf natürlich der Angriff gestartet werden.

22 Angriffe auf die RPC-Ports hat meine Firewall alleine in den letzten 40 Minuten gelogt. Das waren zu Blaster spitzenzeiten mehr als das fünffache. Wenn jetzt die Firewall auch nur 1 Minute nicht aktiv war, kast de den Wurm schon auf dem Rechner, wenn du den RPC-Patch nicht instaliert hast.

Zitat

Original von Kao
LOL !
Der kam auch (glaub ich) durch einen Fehler im Internet Explorer durch.
Also hat nix mit e-mail Anhängen zu tun.
Den bekam man einfach so, wenn man auf irgendwelche Seiten suft mit dem Internet Explorer. -.-

nene RPC hat nix mit dem IE zu tun.

war ja auch zu 50% richtig

Zitat

Original von QuadratImKreis
Entfernt: Blablabla.C1

wetten Sober.C1? *g*