45836

Mydoom-Autoren per neuer Wurm-Variante auf Jobsuche

14.09.2004 | 10:39 Uhr |

Die Autoren des Wurms Mydoom haben in den neuen Varianten ihrer Würmer Botschaften versteckt, in denen sie um einen Job in der Antiviren-Industrie bitten.

Die Programmierer der Malware Mydoom haben in zwei neu in Umlauf gebrachten Varianten - "MyDoom.U". und "MyDoom.V" - des Wurms versteckte Nachrichten eingebaut, in denen sie um einen Job bitten. "We searching 4 work in AV industry" lautet die in den Würmern versteckte Botschaft, also "Wir suchen nach Arbeit in der Antivirenindustrie." Das berichtet der britische Onlinedienst The Register.

Die beiden neuen Varianten tauchten erstmals Ende letzter Woche auf. Die Wahrscheinlichkeit für die Mydoom-Entwickler wirklich einen Job zu finden, sind eher gering. "Wie können wir uns auf einen Virus-Erschaffer verlassen, der Software entwickeln soll, die jeden Tag Millionen von Usern vor Angriffen schützt", sagte Graham Cluley, Chef-Technologieberater von Sophos. Neben moralischen Bedenken weist Sophos auch darauf hin, dass es Unterschiede gibt, zwischen der Fähigkeit einen Wurm zu schreiben und eine Software dagegen zu entwickeln.

Mydoom.U und Mydoom.V verbreiten sich per Mail und eigener SMTP-Engine. Die Mails enthalten als Betreff beispielsweise "You win!" oder "read it immediately". Der Text der Mails kann leer oder Sätze wie "fun photos" oder "apply this patch!" enthalten. Im Anhang befindet sich der Wurm mit "scr"-Endung "(Bsp.: lol.scr, fun.scr), "exe-Endung" (Bsp: patch.exe, new.exe) oder als Zip (Bsp: data.zip, details.zip).

Sobald der Wurm auf einem System aktiviert wurde, durchsucht er die lokalen Festplatten nach Mailadressen und verschickt an diese Kopien von sich. Auf dem Rechner macht sich die Malware in der Datei windrv32.exe im Windows-Systemordner und in der Datei autostart.exe im Autostartordner breit. Außerdem versucht der Wurm auch das Trojanische Pferd "Surila" aus dem Internet herunterzuladen.

In der Registry werden folgende Einträge hinzugefügt:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunWinSPF = "windrv32.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunWinSPF = "windrv32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User AgentVersion = "FrankenShteiN"
HKCU\Software\Microsoft\Internet ExplorerFuckedInst = "1"

Mittlerweile ist auch die Variante "MyDoom.W" im Umlauf. Diese unterscheidet sich von den Vorgängern lediglich durch andere Mailtexte und Namen der Dateianhänge. Außerdem versucht diese Variante auch eine aktuellere Version des Trojanischen Pferds Surila herunterzuladen.

Weitere Infos zu den neuen Mydoom-Varianten finden Sie bei den Antiviren-Spezialisten, so beispielsweise auf den deutschsprachigen Seiten von Sophos .

0 Kommentare zu diesem Artikel
45836