Warnung vor neuem "MyDoom"-Wurm
Vor einem neuen Internet-Wurm, der in Asien bereits massiv unterwegs ist, warnt die österreichische Virenschutz-Softwarefirma Ikarus.
Es handelt sich dabei um eine "MyDoom"-Variante, die sich wie ihre Vorgänger über einen eigenen Mailserver verbreitet und sich an E-Mail-Adressen verschickt, die sie aus dem Adressbuch, temporären Internet-Dateien und der Festplatte "ausliest". Im Gegensatz zu seinen Vorgängern ist der Wurm anders komprimiert.
Der Wurm führe Backdoor-Funktionen mit, warnt Ikarus-Chef Joe Pichlmayr: Die von dem Wurm infizierten Maschinen werden dadurch ein leichteres Ziel für Angriffe bzw. Zugriffe durch potenzielle Angreifer. Der Wurm installiert eine services.exe-Datei im Windows-Verzeichnis, öffnet den TCP port 1034 bei infizierten Rechnern und wartet auf Verbindungen von "draußen".
Mail vom "Postmaster"
Der Wurm tarnt sich als Fehlermeldung, der zufolge eine Mail
nicht zugestellt werden konnte - als Absender tauchen Namen wie
"Postmaster", "Mail Administrator", "Automatic Email Delivery
Software" etc. auf.
Das Remover-Tool von IkarusEntdeckung wird verzögert
Im Betreff ist Vorsicht geboten unter anderem bei: "delivered", "hello", "hi", "error", "status", "test", "report" und "delivery failed".
Im Mailtext kommen folgende Wendungen vor: "Dear User of ...", "We have received reports that your accout was used to send a large amount of junk", "Email messages during the last week" etc.
Auch bei den Attachements greift der Wurm auf verschiedene Varianten zurück; das Attachement ist manchmal auch einfach oder doppelt gezippt.
Um seine Entdeckung möglichst lang zu verzögern, verschickt sich der Wurm nicht an E-Mail-Adressen, in denen er unter anderem folgende Begriffe findet: spam, abuse, privacy, support, admin, example, microsoft usw.
Installiert sich als java.exe
Gelingt es dem Wurm, ein System zu infizieren, installiert er
sich als java.exe im Windows-Verzeichnis und installiert zusätzlich
die Datei services.exe im selben Pfad. Findet er dabei ein anderes
System, das infiziert werden kann, wird die IP-Adresse dieses
Systems in einem verschlüsseltem File mit den Namen "zincite.log"
abgelegt.
PC-User kämpfen häufiger mit der Technik
