MyDoom.C: Neue Variante enthält Source-Code des Vorgängers

In der vergangenen Woche warnte noch Jack Sebbag von Network Associates noch: "Es könnte einen MyDoom.C oder MyDoom.D" geben (wir berichteten). Die C-Variante des Wurms, von den Antivirenherstellern auch Doomjuice genannte, ist jetzt im Internet aufgetaucht. Dabei handelt es sich um eine modifizierte Fassung des Mydoom-Wurms.

Der Programmierer des Wurms "MyDoom.C" hat einige Modifikationen vorgenommen. So wurde ein Bug im Code des Original-Wurms beseitigt, der dafür sorgte, dass die von den infizierten Rechnern ausgehenden DoS-Attacken teilweise fehlschlugen.

Eine ebenso rasante Verbreitung von "MyDoom.C" scheint der Programmierer anscheinend nicht zu wünschen, denn er hat die effiziente SMTP-Engine des Originals entfernt. Dadurch verbreitet sich der Wurm nicht mehr selbstständig per Mail.

Stattdessen sucht "MyDoom.C" im Internet nach Rechnern, die von dem Vorgänger-Wurm infiziert wurden. Diese Rechner haben den Port 3127 geöffnet und lauschen über diesen nach neuem Virencode. Sobald MyDoom.C einen solchen Rechner findet, schickt er an diesen seinen Virencode. MyDoom.A nimmt den neuen Virencode in Empfang, führt diesen automatisch aus und infiziert dadurch den Rechner mit dem neuen Wurm.

Experten rechnen mit einigen hunderttausend Rechnern, die vom Original-Wurm infiziert wurden und jetzt zum Ziel für die C-Variante werden. Allerdings sind durch den neuen Programmcode nur diese Rechner von dem neuen Wurm betroffen und Neuinfizierungen nicht möglich. Dafür sind dann diese Rechner auch doppelt betroffen, denn der C-Wurm entfernt nicht die Vorgänger-Varianten, sondern läuft parallel zu diesen.