24344

Massiver Outbreak: "Mydoom"-Wurm geht um

27.01.2004 | 08:58 Uhr |

Vorsicht ist geboten bei einem neuen Wurm, der derzeit das Internet unsicher macht: W32/Mydoom. Die Malware verbreitet sich per Mail und über das Kazaa-Netzwerk.

Vorsicht ist geboten bei einem neuen Wurm, der derzeit das Internet unsicher macht: W32/Mydoom (alternative Namen: W32.Novarg.A@mm, Win32/Shimg, WORM_MIMAIL.R). Die Malware verbreitet sich per Mail und über das Kazaa-Netzwerk. Betroffen sind die Systeme Windows 98, ME, NT, 2000, und XP.

Der Wurm kommt mit einer gefälschten Absender-Adresse und verschiedenen Betreffzeilen wie: "Error", "Status", "Server Report", "Hello" oder "Hi". Der Anhang mit dem Wurm ist 22.528 Byte groß, die Dateiendung variiert von .bat über .exe, .pif, .cmd bis hin zu .scr. Das Icon des Anhangs täuscht eine Text-Datei vor.

Sobald der Anhang angeklickt wird, kopiert sich der Wurm in das Windows Systemverzeichnis als "taskmon.exe". Folgende Registry-Einträge werden vorgenommen:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe

Der Wurm nutzt eine DLL, die er im Windows Systemverzeichnis erstellt hat:

%SysDir%\shimgapi.dll (4,096 Byte)

Über folgenden Eintrag wird diese DLL in die "Explorer.exe" kopiert:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll

Der Wurm öffnet Port 3127 und ermöglicht somit den Zugriff Dritter auf den infizierten Rechner. Wird ein infizierter PC am 1. Februar oder später gestartet, versucht der Wurm, eine DoS-Attacke gegen die Website www.sco.com zu initiieren, berichten die Antivirenexperten von NAI. Diese Funktion bleibt bis zum 12. Februar aktiv.

W32/Mydoom durchsucht den Rechner nach Mail-Adressen und versendet sich an diese über eine eigene SMTP-Routine. Zudem versucht die Malware, Zufallstreffer zu landen, indem er Mails erstellt, in denen er Mailserver wie mx., mail., smtp., mx1., mxs., mail1., relay. oder ns. mit einem Domain-Namen wahllos verknüpft und diese dann versendet.

Update 28.01.: Informationen der Antivirenexperten von Symantec zufolge installiert der Wurm einen "Keylogger", der die Tastatureingaben des Anwenders aufzeichnet. Der Angreifer kann somit in Besitz wichtiger Passwörter oder Kreditkartennummern gelangen!

0 Kommentare zu diesem Artikel
24344