|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.MiMail
I-Worm.MiMail alias W32.Mimail.A, Worm.Mimail.A
Der Wurm per 1. August des Jahres entdeckte MiMmail-Wurm stammt vermutlich aus Russland und nutzt neben einer „social-engineerging“ Komponente vor allem die Tatsache, dass er Teile seines Code auch als HTML Format an Virenscannern vorbeischleusen kann.
Der Wurm versendet sich als nur 12kb großes ZIP File und nutzt zudem zwei seit einiger Zeit bekannte Exploits von Microsoft´s Internetexplorer.
In Österreich wird der Wurm vermutlich nicht jenes Ausmaß an Verbreitung erreichen wie etwa im Englisch-Sprachigen Raum. Dies liegt vor allem an der Art wie der Wurm versucht den Anwender als Nachricht „seines“ Administrators zu überlisten.
Erhalten Sie eine Nachricht mit folgendem Aussehen, haben sie gute Chancen den Mimail-Wurm vor sich zu haben:
Von: admin@“local-domain-name“ (also im Regelfall der Admin Ihres Unternehmens oder Ihres Netzwerk´s oder PC´s
Betreff: your account “xxxx” (zufällige Buchstaben/Zeichen)
Mailtext:
Hello there,
I would like to inform you about important information regarding your
email address. This email address will be expiring.
Please read attachment for details.
---
Best regards, Administrator
vkwvvrvv
Attachment: message.zip (circa 22kb groß)
Der Wurm verfügt über eigene Routinen über die er sich versenden kann und ist nicht auf die Existenz von MS Outlook oder Outlook-Express angewiesen.
Beim Doppelklick auf das Message.Zip Attachment nützt der Wurm zwei Exploits des Microsoft Internetexplorers. Diese ermöglichen es dem Wurm eine EXE.Datei mit dem Namen Foo.Exe zu generieren und sofort zu starten. Für den betroffenen Anwender prangt unübersehbar ein Browserfenster mit schwarzem Hintergrund und roter Schrift
„Please wait loading message.....“
Nur der aktuelle Sicherheitspatch von Microsoft kann diese Attacke verhindern:
http://www.microsoft.com/technet/security/bulletin/MS03-014.asp
Wird der Mimail-Wurm aktiviert sucht er sofort nach eMail Adressen auf der lokalen Festplatte und kopiert zudem folgenden Dateien in das Windows Verzeichnis:
exe.tmp
zip.tmp
videodrv.exe
und legt in der Registry auch folgende Einträge an:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "VideoDriver" = C:\WINNT\videodrv.exe
und
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Code Store Database\Distribution Units\
{11111111-1111-1111-1111-111111111111}
Im Windows-Verzeichnis legt der Wurm ausserdem die Datei "eml.tmp" an wo alle gefundenen eMail-Adressen eingetragen werden. Sollten Sie diese Datei auf Ihrem PC finden, so können Sie auch sofort ersehen, an wenn sich der Wurm von Ihrem Rechner aus verschickt hat.
Tipp vom Virendoktor:
Achten Sie darauf, immer aktuelle Patches Ihres Betriebssystem Herstellers zu verwenden.
Installieren Sie in diesem Fall die Patches
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-015.asp
und
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-014.asp
Stehen sie Nachrichten grunsätzlich mit einer gesunden Portion Hausverstand gegenüber:
Ist es „logisch“ oder „üblich“ dass Ihr Administrator sie mit englischen Anweisung per Mail kontaktiert?
Stehen Sie JEDEM ausführbaren Dateianhang kritisch gegenüber! Löschen Sie Attachments im Zweifelsfall. Starten Sie keine Attachments ohne diese vorher auf Viren geprüft zu haben.
Aktivieren Sie wenn möglich einen eMail Filter, der Attachments, die Executables enthalten, abblockt bzw. in eigens dafür vorgesehene Quarantänebereiche stellt.
Ein Update Ihres Virenschutzprogammes ist empfehlenswert.
|
|
Linktipps: Pfefferspray erlaubt
|
|
|
|
