9928

Neue Mydoom-Variante im Anflug

25.01.2005 | 12:15 Uhr |

Eine neue Variante des Wurms W32/Mydoom ist aufgetaucht.

Eine neue Variante des Wurms W32/Mydoom ist aufgetaucht. Die ersten Infektionen werden aus Australien gemeldet. W32/Mydoom.am verbreitet sich mit einer eigenen Mail-Routine an auf einem infizierten PC gefundene Adressen. Dabei benutzt er Betreffzeilen wie "Attention!!!", "Do not reply to this email", "Error", "Good day", "hello", "Mail Delivery System", "Mail Transaction Failed", "Server Report" und "Status". Der Dateianhang ist etwa 31 KB groß und kommt mit den Dateinamen "body", "message", "docs", "data", "file", "rules", "doc", "readme" oder "document", kombiniert mit einer der Endungen ".bat", ".cmd", ".exe", ".pif", ".scr" oder ".zip".

Die Nachricht kann recht unterschiedliche Inhalte aufweisen und ist in jedem Fall englisch. W32/Mydoom.am verbreitet sich außerdem über die P2P-Netze von eDonkey, iMesh, Kazaa, LimeWire und Morpheus. Dabei benutzt er unter anderem Dateinamen wie "winxp_patch" oder "dcom_patches", die mit einer der Endungen ".bat", ".exe", ".pif" oder ".scr" gepaart werden. Wird der Wurm ausgeführt, legt er die Datei "lsasrv.exe" im Windows-System[32]-Verzeichnis an und trägt sie in die Registry ein:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"lsass" = "%System%\lsasrv.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "explorer.exe %System%\lsasrv.exe"

So wird der Wurm beim Starten von Windows geladen. Desweiteren versucht W32/Mydoom.am die Prozesse von diversen Antivirus- und Firewall-Programmen zu beenden. Er manipuliert die Datei "hosts" (in %System%\drivers\etc\), um Updates von Antivirus-Produkten zu unterbinden. Aufmerksam sollte man auch werden, wenn sich plötzlich der Windows-Editor (Notepad) öffnet und "Textmüll" anzeigt.

Sicherheits-News auf pcwelt.de

0 Kommentare zu diesem Artikel
9928