MyDoom-virus snelst verspreidende e-mailplaag tot nu toe

Het zogenaamde MyDoom-virus, dat sinds begin deze week aan een flinke opmars bezig is terwijl de Bagle-worm nog nazindert, is het snelst verspreidende virus tot nu toe. Dat laat CNN weten. Vooral de VS, Canada, Engeland en Australië hebben eronder te lijden. Een bedrijf dat gespecialiseerd is in e-mailbeveiliging laat weten dat het al 1,8 miljoen verstuurde e-mails met het virus heeft onderschept, en meldt verder dat er op dit moment meer dan 100.000 e-mails per uur met het virus worden onderschept. Met deze snelheid zou het virus, dat van het type mass-mailer worm is, 1 op de 12 mailberichten infecteren wat meer is dan de 1 op de 17 die het eerdere virus genaamd Sobig.F op z'n hoogtepunt bereikte.

SCO Tank Tevens meldt SCO in een persbericht dat het een bedrag van 250.000 US-dollar uitlooft voor de tip die leidt tot de arrestatie en veroordeling van de schrijver van MyDoom. Dat SCO een hoog bedrag belooft voor de tipgever is geen grote verrassing, aangezien MyDoom het gericht heeft op het softwarebedrijf: vanaf 1 februari zouden alle besmette computers collectief een DDoS-aanval uitvoeren op de SCO-servers. Het is volgens SCO niet de eerste keer dat men zo'n aanval te verduren krijgt, al twijfelen sommige analisten daar aan. Tevens vermeldt het persbericht dat SCO samenwerkt met de FBI en de Amerikaanse Secret Services om de maker(s) van de worm bij de kraag te vatten.

De karakteristieken van het virus, dat ook bekend staat onder de naam W32/Mydoom.A-mm en Novarg, zijn onder andere:

Eigen SMTP-engine om uitgaande berichten aan te maken
Haalt adressen uit adresboeken van mailprogramma's om zichzelf te versturen
22,528 bytes in lengte
bevat een backdoor onderdeel (zie hieronder)
Bevat een Denial of Service lading (DOS)
Bij uitvoering van het attachement worden in de systemroot de bestanden Shimgapi.dll en Taskmon.exe aangemaakt

Benamingen en links:

W32.Novarg.A@mm [Symantec]
W32/Mydoom@MM [McAfee]
WORM_MIMAIL.R [Trend]
Win32.Mydoom.A [Computer Associates]
W32/Mydoom-A [Sophos]
I-Worm.Novarg [Kaspersky]

Ook op ons eigen forum Gathering Of Tweakers leeft het virus, het topic over MyDoom is hier te vinden.

IT-banen

Reacties (119)

smoking2000 28 januari 2004 15:47

Check het Slashdot draadje...

Bijna iedereen vergeet dat dit virus ook nogeens een backdoor op je machine installeerd wat spammers de mogelijkheid geeft om jou machine als open-relay te gebruiken.

Zoals in het /. draadje al wordt gesuggereerd, is de DDoS op SCO slecht een afleiding, zodat men minder tot geen aandacht schenkt aan de andere narigheid die het virus uithaald.

Ik hoorde net op het 15:00 journaal op Radio Purmerend over het virus. Ze vertelden dat het een aanval uitvoerde op SCO welke volgens het nieuwsbericht eigenaar is van UNIX en delen van Linux en dat het virus waarschijnlijk uit de Linux-community komt, geen woord over de open-relay en zombie software die op je machine wordt geinstalleerd!

Dit soort (onvolledige) berichtgeving is slecht voor zowel de gemiddelde Windowsgebruiker als de Linux-community. De Windowsgebruiker kan de ernst van dit virus onderschatten door de oncomplete berichtgeving, en de Linux-community heeft er geen baat bij dat zij (wij) worden afgeschilderd als destructieve virusschrijvers.

Ik hoop dan ook dat de media snel betere bronnen vinden voor hun berichtgeving op het gebied van ICT. Vooral als het gaat om onderwerpen als SCO vs IBM. Sites als tweakers.net en voornamelijk slashdot.org en groklaw.net geven de journalisten een diepgaande blik in dit soort situties, waardoor zij eeen complete bericht geving kunnen doen ipv de berichtgeving als op dit moment, welke de (onwetende) lezer een _totaal_ verkeerd beeld geven van wat er nou precies speelt.

_{Sorry voor de rant, maar ik moest het even kwijt}

Xiqum @smoking2000 • 28 januari 2004 18:03

Ik hoorde vanochtend op RTL4 zeer incomplete info over dit virus. Het luide ongeveer zo: Er is een nieuw virus, het verspreid zich razend snel. ICT Experts bevelen het virus direct te verwijderen.
Ze denken zeker dat even de delete knop gebruiken genoeg is daar bij RTL4

Als ze informatie geven doe het dan goed.

Verwijderd @smoking2000 • 28 januari 2004 16:21

Op een Belgische tv zender in het nieuws is er niets gerept over SCO aanval, enkel over het backdoorpoortje. Dat het een aanval doet op SCO is bij deze dus het eerste ik er van lees

Qua berichtgeving bij grote virus threads zit het hier in .be wel snor, mede door de inspanningen van het BIPT (Belgisch Insituut voor Post en Telecom) welke nieuwszenders en radiozenders op de hoogte brengt bij gevaarlijke virussen.

Verwijderd @smoking2000 • 28 januari 2004 16:08

Nou ja, als het een trojan van een spammer is dan wist die het goed te verbloemen. Hopelijk dat als die dan opgepakt wordt we een virusschrijver en spammer minder hebben.

coolmos 28 januari 2004 15:43

Het virus valt dus aan op 1 februari, niet 12 februari.

En het is absoluut niet zo zeker dat het iemand uit de Linux community is. De meeste Linux geeks raken Windows met geen vinger aan, laat staan dat ze er een virus voor schrijven.
Als je kunt programmeren voor Linux wil dat zeker nog niet zeggen dat je ook voor Windows kunt programmeren.

Waarschijnlijker is dat het een spammer is, aangezien besmette PC's een open relay worden, en dat ook blijven na 12 februari als de DDoS aanval stopt.

SCO heeft hoe dan ook geen kans, zeker nu Groklaw heeft aangetoond dat niet SCO maar Novell de copyrights bezit op het Unix deel dat SCO claimt.
Ze hebben hoe dan ook geen flauw benul wat ze eigenlijk aan het doen zijn. Ze vliegen heen en weer tussen patentschendingen, copyright overtredingen en contractbreuk.
Bovendien heeft McBride in verschillende vraaggesprekken aangegeven dat deze stap alleen is voortgekomen uit het feit dat de firma op de rand van bankroet staat. Ze hebben dus niks te verliezen.

We zouden eens moeten ophouden ons druk te maken over SCO. De grootste schreeuwers hebben meestal het minst te zeggen. We kunnen ons veel beter druk maken over patenten op software. Dat is pas een werkelijk gevaar voor Open Source software.

mrtnvnl 28 januari 2004 15:05

SCO weet toch al wie het gedaan heeft! Zie dit nieuwsbericht, waarin staat:

"It's pretty obvious SCO is targeted in the attack, probably because some Linux users are angry over SCO trying to make Linux a closed system and make a profit from it," Hyppoenen noted.

SCO has offered a 250,000-dollar reward for information leading to the arrest and prosecution of Mydoom's creators. Linux is a free operating system for personal computers made by the Finn Linus Torvalds.

Dus een Linux user heeft het gedaan! Natuurlijk weer een beschuldiging zonder bewijs te overleggen. Welk bedrijf heeft dat ook al weer als handelsmerk®

musiman

@mrtnvnl • 28 januari 2004 15:12

De Open source community zegt hierop als antwoord, dat het wel mogelijk is dat je bij jezelf de ruiten in gaat gooien en vervolgens de ander daarvan beschuldigt.

En zo ben je weer bij af.

Bij Netcraft: http://uptime.netcraft.com/perf/graph?site=www.sco.com zie je dat de site nu al plat ligt. Of zou dit komen door de Google "DoS" Litigious Bastards attack?

musiman

@DataGhost • 28 januari 2004 15:22

SCO gebruikt linux voor hun webservices omdat zij een licentie hebben op de SCO unix code

area32 @Superstudent • 28 januari 2004 19:31

Als iem. onverdraagzaam doet, moet je je dan ook zo verlagen?

EDIT: Typo

Verwijderd @mrtnvnl • 28 januari 2004 15:24

Nou... het ligt in dit geval natuurlijk wel EEEEERRRRUUUGGGG voor de hand dat dit virus vanuit de Linux wereld afkomstig is.....

Windows gebruikers hebben immers nog nooit van SCO gehoord, en de suggestie dat SCO twee weken zichzelf via een DoS platlegt om zo de Linux community aan te vallen is te zot voor woorden...

Verwijderd @Verwijderd • 28 januari 2004 18:11

Er is een oorlogs tactiek die zegt
"vernietig de vijand van binnenuit"
Dit soort gevallen zouden makelijk gezien kunnen worden als een aanval op het linux community
Omdat ze op deze wijze die community ondermijnen omdat iedereen elkaar dan wantrouwt
En buiten dat om staat linux weer in het kwaade daglicht.

Er is namelijk nog geen schijntje bewijs getoond dat dit virus ook maar iets met linux te maken heeft

Zou zelfs een mac gebruiker kunnen zijn die dit geschreven heeft.

Geruchten zijn het ergste vijand van de waarheid.

Superstudent @Verwijderd • 28 januari 2004 15:36

Waar baseer je dat op? Kom eens met feiten...Het kan ook een voormalig medewerker van SCO geweest zijn om maar iets lomps te noemen. Iedereen is onschuldig totdat het tegendeel bewezen is, dus ook de linux community

dotnetpower @Verwijderd • 28 januari 2004 19:04

Windows gebruikers hebben immers nog nooit van SCO gehoord, en de suggestie dat SCO twee weken zichzelf via een DoS platlegt om zo de Linux community aan te vallen is te zot voor woorden...

Wat wil je daarmee zeggen, dat ICT'ers die met Windows werken DOM zijn ? Trouwens de linux community heeft een motief

LollieStick @mrtnvnl • 28 januari 2004 18:45

ok, reken me maar in

Verwijderd @mrtnvnl • 28 januari 2004 15:09

Microsoft?

Ik vind het gewoonweg niet kunnen wat SCO nou weer doet, altijd is SCO bezig tegen linux omdat ze volgends hun een stukje sourcecode hebben gebruikt. Allemaal zonder bewijs. Lekker is dat.

En dan durven ze nou ook een linux gebruiker de schuld te geven? Niet normaal hoor.

Mizitras @Verwijderd • 28 januari 2004 17:08

SCO wijst niet met de vinger naar de Linux gemeenschap. Lees het artikeltje nog eens door

Verwijderd @mrtnvnl • 28 januari 2004 15:12

Natuurlijk weer een beschuldiging zonder bewijs te overleggen, Welk bedrijf heeft dat ook al weer als handelsmerk ?

The Inquirer ?

Madcat @mrtnvnl • 28 januari 2004 15:22

Oh dan klagen ze toch gewoon iedere linux user aan

Dan weten ze zeker dat ze de dader te pakken hebben.

MrMr @mrtnvnl • 28 januari 2004 23:39

Blijt een beetje vaag verhaal; een fanatieke Linux user die in z'n vrije tijd windows programma's schrijft

Talon 28 januari 2004 15:02

Ik snap dat sommige mensen het "high-profile" gedrag van SCO niet accepteren, maar een worm speciaal voor de gelegenheid creeeren vind ik wel erg ver gaan.
Ik snap dus ook wel dat SCO daar zo'n hoge beloning voor uitlooft.

En om even in de toon van de volgende berichten te passen : "Ik heb al 50% MyDoom van alle mail !!!"
Er lopen op tweakers ook al enkele topics over dus lees ze aandachtig door voor remedies en voorzorgsmaatregelen.

Wat ik bijzonder storend aan de worm vind is dat hij zich bij de eerste reboot in explorer.exe schiet. het is dus van hoog belang om niet te rebooten als je de worm hebt, maar eerst zijn process af te schieten en dan meteen verwijderen. En dan pas rebooten !

Verwijderd @Talon • 28 januari 2004 15:49

Eigenlijk is dit niets anders dan een terroristische aanslag richting SCO.

Jimbolino @Verwijderd • 28 januari 2004 16:02

behalve dat hier geen echte doden vallen, en de schade uit te drukken is in een paar 100.000en

Verwijderd @Jimbolino • 28 januari 2004 16:36

Een terroristische aanslaf hoeft niet perse mensenlevens te eisen.

Mizitras @Jimbolino • 28 januari 2004 17:00

Ergens eist het toch zijn slachtoffers.
Het kwaad dat daar insteekt en eruitkomt moet ergens naartoe.

Het kan dus goed zijn dat bij een ware aanval keer op keer daar veel mensen voor op hun donder krijgen,en zich daar niet goed bij voelen.

Net zoals energie, gaat ook het gericht 'kwaad' IMHO ergens heen en wordt het op één of andere manier toch weer voort verspreid of laat het sporen na.

ArnoudJ @Talon • 28 januari 2004 21:20

Bijna niemand vindt zo'n DoS attack gerechtvaardigd. Ook de overgrote meerderheid van de tegenstanders van SCO niet. Maar het vervelende met dit soort dingen is dat er maar 1 persoon voor nodig is.

zeekoe @Talon • 28 januari 2004 20:15

ik voel me gediscrimineerd.
heb em nog nie...

misschien is die worm wel door sco zelf gemaakt... hun servers draaien op linux...

Kurgan 28 januari 2004 15:40

Tsja, dit was natuurlijk wel te verwachten. SCO heeft nu al zoveel mensen tegen zich in het harnas gejaagd dat er gewoon wel een virusmaker tussen MOEST zitten, en uiteraard geeft SCO meteen de open source-community de schuld.(Maar dat doen ze ook als de stroom uitvalt of het weer ze niet bevalt.) Hoewel ze daar uiteraard de meeste vijanden hebben, kan dit evengoed een wraakactie zijn van een ex-werknemer. Beetje voorbarig dus om nu al beschuldigingen te gaan rondstrooien, maar uit het verleden weten we al wel dat SCO bij het uiten van beschuldigingen zich zelden laat hinderen door dingen als feiten en bewijzen...

Verder vind ik het wel een goeie actie van SCO, het boeit niet WAAROM iemand virussen, wormen of trojans maakt. Gewoon keihard aanpakken die losers. Van een hacker kun je ten minste nog zeggen dat hij op beveiligingsfouten wijst, maar een virusschrijver doet echt nooit iets goeds.

Mizitras @Kurgan • 28 januari 2004 17:43

Niet 100% akkoord.
Voor die 1% "virusschrijvers doen echt nooit iets goeds."

Redenen waarom die worden geschreven duiden meestal op een specifieke actie.
Bij een wormvirus vallen veel 'onschuldige' slachtoffers. IMHO is een worm iets vrij zwakzinnig als je kijkt naar 'stand-alon' pareltjes van virussen die specifiek zijn gebouwd, of voor testdoeleinden.

Veel virusschrijvers zijn ook programmeurs die bij een bedrijf werken. Een meerderheid echter denk ik, is gewoon jou kraterige buurjongen waarvan je denkt dat het een gamer is die enkel wat 'script'.

YaPP 28 januari 2004 17:00

Een open reactie aan iedereen,

hoewel ik ook erg kan lachen om grapjes "waar kan ik het installeren", getuigt het niet van veel inzicht. Dit is juist het het soort reacties waardoor Linux zwart gemaakt wordt.

Ik denk eerder dat we met z'n alleen bezig kunnen zijn om het virus te stoppen, en de maker te vinden. Ieders anders zet zowel de Windows* als Linux community voor schut

(zoals hier boven is opgemerkt, is de ddos aanval waarschijnlijk een afleidingsmanouvre)

It_was_me @YaPP • 28 januari 2004 18:01

Ik denk eerder dat we met z'n alleen bezig kunnen zijn om het virus te stoppen, en de maker te vinden. Ieders anders zet zowel de Windows* als Linux community voor schut

Nogmaals, ik draai Debian thuis. Is dat virusscanner genoeg, of moet ik dan ook nog Symantec Anti Virus installeren onder WINE. Wat verwacht je nou van de Linux community?

MarcelG @It_was_me • 28 januari 2004 20:06

Okay..als je Debian een virusscanner wilt noemen, da's jouw keuze...
Maar jij weet net zo goed als ieder ander dat 'n virus alleen gemaakt wordt voor een platform waar 't ook impact kan hebben...net zo goed dat een Palestijnse zelfmoordenaar ook niet een rustig plekkie op de hei gaat opzoeken om zichzelf op te blazen worden er vrij weinig tot geen virii geschreven voor Debian of andere <0,1% OS'en....
Als je dan iets doet, doe 't dan zodat 't ook gemerkt wordt.....

It_was_me @MarcelG • 28 januari 2004 22:57

^G^G^G Ik ben al overgestapt op Debian, en heb geen virussen meer, als iedereen dat zou doen, zijn we toch van alle virussen af?

YaPP @It_was_me • 29 januari 2004 09:45

ot, maar ik ben graag behulpzaam.

@It_was_me,

Je hebt geluk dat een UNIX based OS meer beperkingen oplegt aan de verspreiding van een virus.. en je dus minder snel een scanner nodig hebt. Het is niet onmogelijk, Linux ELF-binaries kunnen ook virussen bevatten, maar de architectuur van je systeem beperkt de verspreidingskans van een virus.

(en flame me, maar soms heb ik _de_indruk_ dat in Windows een virusscanner de enige beperking is voor de verspreiding van een virus ...als je dit een flame vind, geef graag goede voorbeelden!)

De meeste scanners voor Linux controleren mail en netwerk-shares, om virussen te vinden die anders door een Windows machine opgepikt kunnen worden.

p.s. Je draait toch niet dagelijks als root? Dan gaat bijna alles in dit hele verhaal namelijk niet meer op!

@baddon 28 januari 2004 15:04

"On the first system startup on February 1st or later, the worm changes its behavior from mass mailing to initiating a denial of service attack against the sco.com domain. This denial of service attack will stop on the first system startup of February 12th or later, and thereafter the worm's only behavior is to continue listening on TCP port 3127."

Bron http://vil.nai.com/vil/content/v_100983.htm

! feb begint de attack dus...niet 12.

KompjoeFriek 28 januari 2004 15:46

SCO: 250.000 dollar voor aangeven schrijver MyDoom-worm

of:

Microsoft: 250.000 dollar voor aangeven schrijver MyDoom-worm

Is Microsoft Behind SCO's $50 Million Cash Infusion?
Microsoft en Sun leveren SCO vijftien miljoen dollar op.
Microsoft neemt licentie op Unix code

Verwijderd 28 januari 2004 22:06

Wat ik in de hele draad een beetje heb gemist is dat er inmiddels een removal tool is uitgebracht door Symantec. Details over het kreng kun je hier nalezen, Hij maakt dus een zooitje registersleutels aan die ervoor zorgen dat je poorten open worden gezet, en als je kazaa hebt zet ie in de download folder ook nog wat onzaligheid neer. Verder blijkt de DoS-attack in de hele periode tussen 2 en 14 februarie te gaan plaatsvinden. En hij heeft inmiddels verschillende namen:

W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend], Win32.Mydoom.A [Computer Associates], W32/Mydoom-A [Sophos], I-Worm.Novarg [Kaspersky]

Wat ik persoonlijk feitelijk verplichte kost vind voor gebruikers is het volgende, ze noemen het best practice:

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

Turn off and remove unneeded services. By default, many operating systems install auxiliary services that are not critical, such as an FTP server, telnet, and a Web server. These services are avenues of attack. If they are removed, blended threats have less avenues of attack and you have fewer services to maintain through patch updates.
If a blended threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files.
Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media.
Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched

Een aantal dingen zijn voor thuisgebruikers natuurlijk niet van toepassing, maar het blokkeren van mails met een bepaalde extensie die er in voorkomt kan iedereen wel doen.

RobT 29 januari 2004 17:34

Van: http://www.math.org.il/newworm-digest1.txt

D'Aloisio Marc observed some things about the DoS attack, and raised some preliminary questions:
-----
Has anyone seen the DOS against SCO actually happen?
I have the new critter in a test environment where we conducted a
preliminary and rudimentary functionality and threat analysis and the
only activity I can get it to perform related to www.sco.com is to
resolve the name. In fact, it seems very unhappy if it cannot resolve
[url="http://www.sco.com."]www.sco.com.[/url] Once it can, it happily scans local files for anything
that can be construed (very loosely) as a domain and tries to resolve
mail servers based on these. In fact, right now it's trying to resolve
'mx.makewin.rsp'. "Makewin.rsp' is a file referenced in the help files
of my DigitalMars C++ compiler on a test machine, so it's not a very
smart worm. The worm also seems to like to increment the third octet of
the host IP by one and syn to port 25 of that address over and over and
over... I have played with the date, etc, but still no activity directed
toward [url="http://www.sco.com."]www.sco.com.[/url] It did die after 12 February, but gladly
resurrected when the date was set back prior to that.
I haven't had time to go through a code analysis - that will come later
as time permits.
-----

Op dit item kan niet meer gereageerd worden.

MyDoom-virus snelst verspreidende e-mailplaag tot nu toe

Lees meer

IT-banen

Reacties (119)

Sorteer op:

Weergave: