Neue Mydoom-Variante breitet sich aus

Donnerstag den 17.02.2005 um 12:05 Uhr

von Frank Ziemann

Mehrere Antivirus-Hersteller warnen vor einer neuen Variante des Mydoom-Wurms.

Mehrere Antivirus-Hersteller warnen vor einer neuen Variante des Mydoom-Wurms. Es wurde eine mittlere Warnstufe ausgelöst, was bedeutet, dass der Wurm bereits in mehreren Regionen gesichtet wurde und sich weiter ausbreitet. McAfee nennt die neue Variante "W32/Mydoom.bb", bei Symantec heißt er "W32.Mydoom.AX", bei Trend Micro "WORM_MYDOOM.BB", AntiVir erkennt ihn als "Worm/MyDoom.BB".

Es handelt sich um eine modifizierte Version von Mydoom.m, der seit letzten Sommer bekannt ist. Mydoom.bb verbreitet sich per Mail mit gefälschten Absenderangaben wie "Postmaster" oder "Mail Administrator" und täuscht in Betreff und Nachricht eine Mitteilung über ein angeblich aufgetretenes Problem vor. Im englischen Text heißt es, vom Account des Empfängers sei Spam verschickt worden oder eine versandte Mail habe nicht zugestellt werden können. Als Betreff verwendet er:

delivered
delivery failed
Delivery reports about your e-mail
error
hello
hi
Mail System Error - Returned Mail
Message could not be delivered
report
Returned mail: Data format error
Returned mail: see transcript for details
status
test

Die Mails enthalten einen Anhang variabler Größe (ca. 25 KB), dessen Dateiname aus mehreren Teilen zusammen gesetzt wird. Einer dieser Namen:

attachment
document
file
instruction
letter
mail
message
readme
text
transcript

wird kombiniert mit einer dieser Endungen:

bat
cmd
com
exe
pif
scr
zip

Es können auch zweifach gezippte Dateien auftreten. Mydoom.bb kopiert sich als "java.exe" ins Windows-Verzeichnis und legt dort unter dem Dateinamen "services.exe" ein Trojanisches Pferd ab. Sollten bereits Dateien mit diesen Namen vorhanden sein, können sie überschrieben werden. Er trägt beide als "JavaVM" respektive "Services" in diesen Registry-Schlüssel ein:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Dadurch werden beide Dateien bei jedem Windows-Start geladen. Der Wurm sucht in diversen Dateitypen nach Mail-Adressen und verwendet die Suchmaschinen Google, Altavista, Lycos und Yahoo zur Suche nach weiteren Adressen, an die er sich versendet. Mydoom.bb lädt noch ein zweites Trojanisches Pferd von einem Web-Server herunter. Die meisten Antivirus-Hersteller haben bereits außer der Reihe Updates bereit gestellt, mit denen der Wurm erkannt wird. Die beiden Trojanischen Pferde sind schon seit einigen Monaten bekannt.

AntiVir (dt.)

McAfee

Symantec

Donnerstag den 17.02.2005 um 12:05 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
245800