Attacke des MyDoom-Wurms gerät zur Epidemie
Laut den Antivirenherstellern hat sich der Wurm MyDoom alias W32.Novarg alias Mimail.R in kurzer Zeit weltweit auf etwa 300.000 Rechnern verbreitet. Die Virenexperten rechnen damit, dass der Wurm die Verbreitungsrekorde aus dem Jahre 2003 übetreffen wird.
Die Wurm-Attacke des MyDoom vor einigen Stunden (wir berichteten) gerät zu einer Epidemie. Laut den Antivirenherstellern hat sich der Wurm MyDoom alias W32.Novarg alias Mimail.R in kurzer Zeit weltweit auf etwa 300.000 Rechnern verbreitet. Die explosionsartige Verbreitung hat nach Meinung von Kaspersky Labs gute Chancen, die Rekorde von 2003 zu übertreffen. Kaspersky geht zudem von einer wohl vorbereiteten Aktion aus, die auf ein Netzwerk von infizierten Rechnern baute. Sobald eine kritische Anzahl von Rechnern befallen war, sei ein zentralisierter Befehl zum Versand des Wurms ergangen. Kaspersky glaubt nach genauerer Analyse des Verbreitungsgebietes, dass der Wurm aus Russland stammt.
Als Verbreitungswege hatte Novarg/MyDoom Mails und auch die Tauschbörse Kazaa gewählt, das berichtet unsere Schwesterpublikation Tecchannel. Die vom Wurm generierten Mails haben eine zufällig gewählte Absenderadresse, zudem hat Kaspersky für den Mailversand acht Betreff-Varianten, vier Textversionen und 18 Dateinamen für den Anhang ausgemacht. Eine sinnlose Folge von Zeichen für Betreff, Text und Dateinamen gehöre ebenfalls dazu. In Kazaa ist Novarg unter verschiedenen Namen unterwegs - etwa winamp5, icq2004-final.
Wird der Anhang/Download ausgeführt, startet MyDoom/Novarg das Windows Notepad und zeigt eine Zufallsabfolge von Zeichen. Gleichzeitig trägt er Dateien ins Systemverzeichnis ein. Zum Versand via Mail durchsucht er die Festplatte nach Dateien mit den Erweiterungen HTM, WAB und TXT. Ist Kazaa installiert, kopiert sich der Wurm in das öffentlich zugängliche Fileshare-Verzeichnis.
Novarg installiert auf dem infizierten Rechner ein Proxy-Server-Modul, das zum Versand von Spam oder zur Installation neuer Malware-Versionen genutzt werden kann. Ein Backdoor-Programm wird auch installiert. Zudem versucht Novarg eine DoS-Attacke auf die Webseite sco.com der SCO Group zu fahren. Die DoS-Funktion wird laut Kaspersky vom 1. bis 12. Februar 2004 aktiv und schickt GET-Anfragen an Port 80. Die detaillierte Analyse von Kaspersky können Sie hier nachlesen. Auch das Bundesamt für Sicherheit in der Informationstechnik hat reagiert und bietet auf dieser Seite Informationen zum Wurm an. Weitere Informationen zu dem Wurm finden Sie außerdem in dieser PC-WELT Nachricht.
