AA

Neue MyDoom-Variante in Umlauf

Symbolfoto |&copy Bilderbox
Symbolfoto |&copy Bilderbox
Vor einem neuen Internet-Wurm, der in Asien bereits massiv unterwegs ist, warnte am Donnerstag die österreichische Virenschutz-Softwarefirma Ikarus.

Es handle sich dabei um eine MyDoom-Variante, die sich wie ihre Vorgänger über einen eigenen smpt-Server verbreitet und sich an E-Mail-Adressen verschickt, die sie aus dem Adressbuch, temporären Internet-Dateien und der Festplatte „ausliest“. Im Gegensatz zu seinen Vorgängern ist der Wurm jedoch nicht UPX, sondern MEW komprimiert.

Damit nicht genug, führt der Wurm auch Backdoor-Funktionalitäten „im Gepäck“, warnte Ikarus: Die von dem Wurm infizierten Maschinen werden dadurch ein leichteres Ziel für Angriffe bzw. Zugriffe durch potenzielle Hacker. Der Wurm installiert eine services.exe-Datei im Windows-Verzeichnis, öffnet den TCP port 1034 bei infizierten PC/Servern und wartet auf Verbindungen von „draußen“.
Vorsicht ist bei E-Mails mit folgendem Aussehen geboten:

From: absender@absender.com – der Wurm verwendet wahrscheinlich auch eine Fehlermeldung, wonach ein Mail nicht zugestellt werden konnte -, Mailer-daemon@xxxx.domain; noreply@xxxx.domain; postmaster@xxx.domain. „xxxx“ steht für einen zufälligen Namen, den das Virus vom infizierten System übernimmt.

Auch solche Absender werden vom Wurm verwendet: „Postmaster“, „Mail Administrator“, „Automatic Email Delivery Software“, „Post Office“, „The Post Office“, „Bounced mail“, „Returned mail“, „MAILER-DAEMON“ und „Mail Delivery Subsystem“.

Im „Betreff“ ist Vorsicht geboten unter anderem bei: „delivered“, „hello“, „hi“, „error“, „status“, „test“, „report“ oder „delivery failed“. Im Mailtext kommen folgende Wendungen vor: „Dear User of …“, „We have received reports that your accout was used to send a large amount of junk“, „Email messages during the last week“, „Probably, your computer had been compromised and now contains a hidden proxy server“, „Please follow the instruction in the attached file in order to keep your computer safe“, „Have a nice day … user support team“.

Im Attachment kommen vor: exe, com, scr, pif, bat, cmd. Es kann auch passieren, dass Internet-User den Wurm als ZIP- oder Doppel-ZIP-Datei erhalten, die dann eine dieser Dateien enthält. In manchen Fällen generiert das Virus auch Doppeldatei-Endungen, wobei das Virus jedoch zwischen den beiden Endungen viele Leerschritte einfügt. Für die Doppel-Datei Endungen verwendet das Virus die Dateitypen doc, txt, htm und html. Der Wurm greift auch auf bekannte Suchmaschine wie Google und Yahoo zu, um potenzielle E-Mail-Adressen zu finden.

Um seine Entdeckung möglichst lang zu verzögern, verschickt sich der Wurm nicht an E-Mail-Adressen, in denen er unter anderem folgende Begriffe findet: spam, abuse, master, sample, account, privacy, certific, bugs, listserv, submit, support, admin, not, help, soft, site, me, you, your, some- oder anyone, nothing, nobody, info, winzip, update, domain, example oder microsoft.

Sollte es dem Wurm gelingen, ein System zu infizieren, installiert er sich als java.exe im Windows-Verzeichnis und installiert zusätzlich die Datei services.exe im selben Pfad. Findet er dabei ein anderes System, das infiziert werden kann, wird die IP-Adresse dieses Systems in einem verschlüsseltem File mit den Namen „zincite.log“ abgelegt.

Link:

  • www.ikarus-software.at
  • home button iconCreated with Sketch. zurück zur Startseite
  • VOL.AT
  • Wien Aktuell
  • Neue MyDoom-Variante in Umlauf