25.02.2004

"MYDOOM.F"

"Mydoom"-Variante löscht Dateien

Mit einer weiteren Variante meldet sich der E-Mail-Wurm "Mydoom" in den Postfächern zurück.

Diesmal jedoch ist die nunmehrige Version "Mydoom.F" weitaus aggressiver als ihre Vorgänger. Neben den bereits bekannten Angriffen auf microsoft.com greift der Wurm nun auch die Website des Branchenverbands der amerikanischen Musikindustrie [RIAA] an.

Daneben löscht er auf infizierten Rechnern Word- und Excel-Dokumenten sowie Files mit den Endungen .jpg, .sav, .bmp und .avi. Die Dateien werden dabei mit einer angegeben Wahrscheinlichkeit zwischen acht [.jpg] und 95 [.sav] Prozent gelöscht.

Die Anti-Viren-Spezialisten gehen davon aus, dass "Mydoom.F" nicht vom selben Autor wie die Ursprungsform stammt, sondern der Quellcode von einem Nachahmer modifiziert wurde.

DDoS-Attacken gegen RIAA

Der neue Code enthält nicht mehr die bekannte Entschuldigung von Andy, sondern die Nachricht "I am 'Irony,' made by jxq7==-."

Der Wurm kommt als Attachment in verschiedenen Formen an, meist jedoch als paypal.zip. creditcard.zip, photo- oder mail.zip oder als zip-file mit zufällig generiertem Namen.

In der Betreffzeile scheint sich der Autor Denkanstöße bei "Sober.C" geholt zu haben, auch "Mydoom.F" versucht unter anderem mit Zeilen wie "You use illegal File Sharing... Your IP was logged" die User zu motivieren.

Auch die aktuelle Variante hinterlässt eine Backdoor-Funktion, die Angreifern den Zugriff auf den Rechner erlaubt. Die DDoS-Attacken gegen Microsoft und die RIAA starten zwischen 17. und 22. jedes Monats, ein Drittel der Attacken geht gegen die RIAA.