0
W32.Novarg.Amm (MyDoom.A und MyDoom.B Virus entfernen)
Wieder ein Virus, der das Internet zum Überlaufen bringt.
Die SCO-Guppe ist diesmal das Ziel und der Virus hat heute (02.02.04) auch schon seine volle Wirkung gezeigt. Die Webseiten von SCO (http://www.sco.com) sind seit Stunden nicht mehr erreichbar.
Der Internetwurm MyDoom enthält eine so genannte Backdoor-Komponente, über die ein infizierter Computer ferngesteuert werden kann. Das bedeutet, dass ein Angreifer auf alle Daten des Computers zugreifen kann. Diese Backdoor-Komponente kann aber auch für weitere Angriffe ins Internet genutzt werden, das heißt, der infizierte Computer ist dann der Ausgangspunkt dieser Angriffe.
Eine Infektion des Computers durch die Internetwürmer MyDoom.A bzw. MyDoom.B wird mit Viren-Schutzprogrammen festgestellt, kann aber auch ohne aktuelles Viren-Schutzprogramm erkannt werden. Dazu wird die Existenz der Wurm-Dateien geprüft.
MyDoom.A (alias Novarg.A)
wird durch die Existenz von taskmon.exe und/oder shimgapi.dll in unten aufgeführten Verzeichnissen nachgewiesen.
Datei taskmon.exe
Windows 95/98/Me:
C:WindowsSystemtaskmon.exe
Windows NT/2000:
C:WinntSystem32taskmon.exe
Windows XP:
C:WindowsSystem32taskmon.exe
Datei shimgapi.dll
Windows 95/98/Me:
C:WindowsSystemshimgapi.dll
Windows NT/2000:
C:WinntSystem32shimgapi.dll
Windows XP:
C:WindowsSystem32shimgapi.dll
MyDoom.B
befindet sich im infizierten System in den Dateien ctfmon.dll und explorer.exe in den unten aufgeführten Verzeichnissen.
Datei Ctfmon.dll
Windows 95/98/Me:
C:WindowsSystemCtfmon.dll
Windows NT/2000:
C:WinntSystem32Ctfmon.dll
Windows XP:
C:WindowsSystem32Ctfmon.dll
Datei Explorer.exe
Windows 95/98/Me:
C:WindowsSystemExplorer.exe
Windows NT/2000:
C:WinntSystem32Explorer.exe
Windows XP:
C:WindowsSystem32Explorer.exe
Achtung:
Explorer.exe ist (auch) ein Windows-Programm. Das originale Programm Explorer.exe befindet sich im Windows-Verzeichnis, nicht im Windows-System-Verzeichnis.
Entfernung des Wurms MyDoom.A (Novarg.A)
Bei den Betriebssystemen Windows ME oder XP muss vor der Entfernung die Systemwiederherstellung deaktiviert werden.
Vor der Entfernung muss der Computer im abgesicherten Modus gestartet werden.
Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer.
Es wurden Tools ausgewählt, die eine deutsche Beschreibung enthalten. Die Meldungen, die die Programme ausgeben, sind jedoch in englisch.
Symantec (FxNovarg.exe): http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.no ...
Sophos (MYDOOSFX.COM): http://www.sophos.de/support/disinfection/mydooma.html
NAI (Stinger.exe): http://vil.nai.com/vil/stinger/
Kaspersky (CLRAV.ZIP, enthält CLRAV.COM): http://www.kaspersky.com/de/news.html?id=3112351
Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.
Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
Kontaktadresse BSI: bsisec@bsi.bund.de
http://www.bsi.bund.de/
Eine Infektion des Computers durch die Internetwürmer MyDoom.A bzw. MyDoom.B wird mit Viren-Schutzprogrammen festgestellt, kann aber auch ohne aktuelles Viren-Schutzprogramm erkannt werden. Dazu wird die Existenz der Wurm-Dateien geprüft.
MyDoom.A (alias Novarg.A)
wird durch die Existenz von taskmon.exe und/oder shimgapi.dll in unten aufgeführten Verzeichnissen nachgewiesen.
Datei taskmon.exe
Windows 95/98/Me:
C:WindowsSystemtaskmon.exe
Windows NT/2000:
C:WinntSystem32taskmon.exe
Windows XP:
C:WindowsSystem32taskmon.exe
Datei shimgapi.dll
Windows 95/98/Me:
C:WindowsSystemshimgapi.dll
Windows NT/2000:
C:WinntSystem32shimgapi.dll
Windows XP:
C:WindowsSystem32shimgapi.dll
MyDoom.B
befindet sich im infizierten System in den Dateien ctfmon.dll und explorer.exe in den unten aufgeführten Verzeichnissen.
Datei Ctfmon.dll
Windows 95/98/Me:
C:WindowsSystemCtfmon.dll
Windows NT/2000:
C:WinntSystem32Ctfmon.dll
Windows XP:
C:WindowsSystem32Ctfmon.dll
Datei Explorer.exe
Windows 95/98/Me:
C:WindowsSystemExplorer.exe
Windows NT/2000:
C:WinntSystem32Explorer.exe
Windows XP:
C:WindowsSystem32Explorer.exe
Achtung:
Explorer.exe ist (auch) ein Windows-Programm. Das originale Programm Explorer.exe befindet sich im Windows-Verzeichnis, nicht im Windows-System-Verzeichnis.
Entfernung des Wurms MyDoom.A (Novarg.A)
Bei den Betriebssystemen Windows ME oder XP muss vor der Entfernung die Systemwiederherstellung deaktiviert werden.
Vor der Entfernung muss der Computer im abgesicherten Modus gestartet werden.
Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer.
Es wurden Tools ausgewählt, die eine deutsche Beschreibung enthalten. Die Meldungen, die die Programme ausgeben, sind jedoch in englisch.
Symantec (FxNovarg.exe): http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.no ...
Sophos (MYDOOSFX.COM): http://www.sophos.de/support/disinfection/mydooma.html
NAI (Stinger.exe): http://vil.nai.com/vil/stinger/
Kaspersky (CLRAV.ZIP, enthält CLRAV.COM): http://www.kaspersky.com/de/news.html?id=3112351
Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.
Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
Kontaktadresse BSI: bsisec@bsi.bund.de
http://www.bsi.bund.de/
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 877
Url: https://administrator.de/contentid/877
Printed on: April 20, 2024 at 11:04 o'clock
