Eine neue Variante des Wurms W32/Mydoom ist aufgetaucht. Die ersten Infektionen werden aus Australien gemeldet. W32/Mydoom.am verbreitet sich mit einer eigenen Mail-Routine an auf einem infizierten PC gefundene Adressen. Dabei benutzt er Betreffzeilen wie “Attention!!!”, “Do not reply to this email”, “Error”, “Good day”, “hello”, “Mail Delivery System”, “Mail Transaction Failed”, “Server Report” und “Status”. Der Dateianhang ist etwa 31 KB groß und kommt mit den Dateinamen “body”, “message”, “docs”, “data”, “file”, “rules”, “doc”, “readme” oder “document”, kombiniert mit einer der Endungen “.bat”, “.cmd”, “.exe”, “.pif”, “.scr” oder “.zip”.
Die Nachricht kann recht unterschiedliche Inhalte aufweisen und ist in jedem Fall englisch. W32/Mydoom.am verbreitet sich außerdem über die P2P-Netze von eDonkey, iMesh, Kazaa, LimeWire und Morpheus. Dabei benutzt er unter anderem Dateinamen wie “winxp_patch” oder “dcom_patches”, die mit einer der Endungen “.bat”, “.exe”, “.pif” oder “.scr” gepaart werden. Wird der Wurm ausgeführt, legt er die Datei “lsasrv.exe” im Windows-System[32]-Verzeichnis an und trägt sie in die Registry ein:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun “lsass” = “%System%lsasrv.exe” HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon “Shell” = “explorer.exe %System%lsasrv.exe”
So wird der Wurm beim Starten von Windows geladen. Desweiteren versucht W32/Mydoom.am die Prozesse von diversen Antivirus- und Firewall-Programmen zu beenden. Er manipuliert die Datei “hosts” (in %System%driversetc), um Updates von Antivirus-Produkten zu unterbinden. Aufmerksam sollte man auch werden, wenn sich plötzlich der Windows-Editor (Notepad) öffnet und “Textmüll” anzeigt.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.