163372

Warnung vor Mytob-Wurm

25.11.2005 | 15:11 Uhr |

Trend Micro warnt vor einem Mail-Wurm aus der Mytob-Familie, der sich auch in Deutschland verbreitet.

Der Antivirus-Hersteller Trend Micro hat eine mittlere Warnstufe für den Wurm "MYTOB.MX" heraus gegeben. Das ist die gleiche Warnstufe, die das Unternehmen für die in dieser Woche verbreitete Variante des Sober-Wurms angesetzt hat. Trend Micro hat nach eigenem Bekunden Erkenntnisse, dass sich der Wurm derzeit in Osteuropa, Deutschland, Spanien und Österreich ausbreitet.

Der als " WORM_MYTOB.MX " bezeichnete Schädling verbreitet sich per Mail sowie über P2P-Netze und Freigaben im Netzwerk. Ferner nimmt er Kontakt mit IRC-Servern auf und holt sich dort neue Anweisungen. Er verwandelt den infizierten PC zudem in einen FTP-Server.

Die Mails kommen mit englischem Betreff, zum Beispiel: "Important Notification", "Your Account is Suspended" oder "Your new account password is approved" und ähnliche. Der Text der Mails weist ebenfalls auf einen angeblichen Vorgang in Zusammenhang mit den Benutzerkonto des Empfängers hin.
Angehängt ist eine ZIP-Datei, die den Wurm enthält. Sie kann eine Reihe von Namen haben, etwa "account-details.zip", "email-password.zip" oder "updated-password.zip".

Der Wurm selbst hat eine Dateigröße von 53.760 Bytes, der Dateiname enthält eine doppelte Dateiendung, zusammengesetzt aus DOC, HTM, TXT, TMP sowie EXE, PIF, SCR, BAT, CMD (Beispiel: "password.txt.pif"). Typisch für Mytob-Würmer ist eine größere Zahl von Leerzeichen zwischen beiden Endungen.

Wird der Schädling ausgeführt, legt er eine Datei namens "syst.exe" im System-Verzeichnis von Windows an. Dabei handelt es sich um ein Trojanisches Pferd, das Trend Micro als " TROJ_MONURL.D " bezeichnet.
Er legt ferner diese Registry-Einträge an:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Debugger = \dbg32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Debugger = \dbg32.exe

Es gibt jedoch zunächst keine dementsprechende Datei auf dem PC, vermutlich handelt es sich hier um eine Vorbereitung für einen später zu installierenden Schädling.

Bei McAfee wird dieser Wurm als " W32/Mytob.he@MM " geführt, bei Kaspersky als "Net-Worm.Win32.Mytob.do", F-Prot meldet ihn als "W32/Mytob.PL@mm". Die Zahl der bisherigen Infektionen wird als eher gering angesehen, die Einstufung durch Trend Micro als mittleres Risiko basiert vor allem auf dem hohen Schadens- und Verbreitungspotenzial.

0 Kommentare zu diesem Artikel
163372