Neue "MyDoom"-Variante verbreitet sich rasant: Wurm bedroht unsere Computer!
Vor einem neuen Internet-Wurm, das in Asien bereits massiv unterwegs ist, warnt die österreichische Virenschutz-Softwarefirma Ikarus: Es handle sich dabei um eine MyDoom-Variante, die sich wie ihre Vorgänger über einen eigenen smpt-Server verbreitet und sich an E-Mail-Adressen verschickt, die sie aus dem Adressbuch, temporären Internet-Dateien und der Festplatte "ausliest". Im Gegensatz zu seinen Vorgängern ist der Wurm jedoch nicht UPX, sondern MEW komprimiert.
Damit nicht genug, führt der Wurm auch Backdoor-Funktionalitäten "im Gepäck", warnte Ikarus: Die von dem Wurm infizierten Maschinen werden dadurch ein leichteres Ziel für Angriffe bzw. Zugriffe durch potenzielle Hacker. Der Wurm installiert eine services.exe-Datei im Windows-Verzeichnis, öffnet den TCP port 1034 bei infizierten PC/Servern und wartet auf Verbindungen von "draußen".
Vorsicht ist bei E-Mails mit folgendem Aussehen geboten: From: absender@absender.com - der Wurm verwendet wahrscheinlich auch eine Fehlermeldung, wonach ein Mail nicht zugestellt werden konnte -, Mailer-daemon@xxxx.domain; noreply@xxxx.domain; postmaster@xxx.domain. "xxxx" steht für einen zufälligen Namen, den das Virus vom infizierten System übernimmt.
Auch solche Absender werden vom Wurm verwendet: "Postmaster", "Mail Administrator", "Automatic Email Delivery Software", "Post Office", "The Post Office", "Bounced mail", "Returned mail", "MAILER-DAEMON" und "Mail Delivery Subsystem".
Im "Betreff" ist Vorsicht geboten unter anderem bei: "delivered", "hello", "hi", "error", "status", "test", "report" oder "delivery failed". Im Mailtext kommen folgende Wendungen vor: "Dear User of ...", "We have received reports that your accout was used to send a large amount of junk", "Email messages during the last week", "Probably, your computer had been compromised and now contains a hidden proxy server", "Please follow the instruction in the attached file in order to keep your computer safe", "Have a nice day ... user support team".
MyDoom googelt Mail-Adressen
Im Attachment kommen vor: exe, com, scr, pif, bat, cmd. Es kann auch passieren, dass Internet-User den Wurm als ZIP- oder Doppel-ZIP-Datei erhalten, die dann eine dieser Dateien enthält. In manchen Fällen generiert das Virus auch Doppeldatei-Endungen, wobei das Virus jedoch zwischen den beiden Endungen viele Leerschritte einfügt. Für die Doppel-Datei Endungen verwendet das Virus die Dateitypen doc, txt, htm und html. Der Wurm greift auch auf bekannte Suchmaschine wie Google und Yahoo zu, um potenzielle E-Mail-Adressen zu finden.
Um seine Entdeckung möglichst lang zu verzögern, verschickt sich der Wurm nicht an E-Mail-Adressen, in denen er unter anderem folgende Begriffe findet: spam, abuse, master, sample, account, privacy, certific, bugs, listserv, submit, support, admin, not, help, soft, site, me, you, your, some- oder anyone, nothing, nobody, info, winzip, update, domain, example oder microsoft.
Sollte es dem Wurm gelingen, ein System zu infizieren, installiert er sich als java.exe im Windows-Verzeichnis und installiert zusätzlich die Datei services.exe im selben Pfad. Findet er dabei ein anderes System, das infiziert werden kann, wird die IP-Adresse dieses Systems in einem verschlüsseltem File mit den Namen "zincite.log" abgelegt. (apa/red)