F-Secure warnt vor einem sich rasant verbreitenden neuen Wurm. Der Schädling mit dem Namen Mydoom (alias Novarg, Shimgapi oder W32/Mydoom.A@mm) verbreitet sich über E-Mail-Anhänge sowie über die Tauschbörse Kazaa. Die E-Mails, die den Wurm transportieren, haben zufällige Betreffzeilen und Nachrichtentexte. Auch die Namen der Attachments variieren, die Dateien enden jedoch entweder auf ZIP, BAT, CMD, EXE, PIF oder SCR. Öffnet ein User unvorsichtigerweise den Dateianhang, startet der Wurm das Programm Notepad und zeigt einen Text mit wahllos aneinander gereihten Zeichen. Zudem kopiert sich Mydoom als taskmon.exe in das Windows Systemverzeichnis und aktiviert sich bei jedem Systemstart neu.

Wird ein von Mydoom infizierter Rechner am 1. Februar oder später gebootet, startet der Schädling eine Distributed Denial of Service-Attacke gegen die Website www. SCO.com. Zudem öffnet der Wurm über die TCP Ports 3127 bis 3198 eine Hintertür zu den infizierten PCs und gewährt dem Wurmautor auf diese Weise Zugriff. Auch wenn Mydoom so programmiert ist, dass er seine Verbreitung am 12. Februar stoppt, bleibt die Backdoor weiter aktiv.

SCO unter Beschuss
Die Wogen in der öffentlichen Diskussion schlugen hoch, als SCO, einer der größten UNIX-Anbieter weltweit, im letzten Dezember behauptete, dass das Linux Betriebssystem SCOs geistige Eigentumsrechte an der UNIX-Technologie verletze. "Es gibt viele Kids da draußen, die sich von SCO angegriffen fühlen", kommentiert Mikko Hyppönen, Director of Anti-Virus Research bei F-Secure. "Offensichtlich hat einer beschlossen, dass es OK ist zurück zu schlagen."

Verbreitung über E-Mail und Kazaa
Mydoom durchsucht befallene Rechner nach Mail-Adressen und verschickt sich an diese über eine eigene SMTP-Engine. Der Betreff der infizierten Mails kann zum Beispiel "test", "Mail Delivery System", "Mail Transaction Failed", "Status" oder "Error" heißen. Hat der User auf dem infizierten PC Kazaa installiert, kopiert sich Mydoom in das für das Peer-to-Peer Netzwerk vorgesehene Verzeichnis und nutzt dabei Namen wie "winamp 5", "icq2004-final", "activation_crack", "strip-girl-2.0bdcom_patches", "rootkitXP", "office_crack" oder "nuke2004".



Mehr Infos:
Mehr Informationen
F-Secure




copyright by 4websites