17.02.2005

IN THE WILD

Warnung vor neuem "MyDoom"-Wurm

Vor einem neuen Internet-Wurm, der in Asien bereits massiv unterwegs ist, warnt die österreichische Virenschutz-Softwarefirma Ikarus.

Es handelt sich dabei um eine "MyDoom"-Variante, die sich wie ihre Vorgänger über einen eigenen Mailserver verbreitet und sich an E-Mail-Adressen verschickt, die sie aus dem Adressbuch, temporären Internet-Dateien und der Festplatte "ausliest". Im Gegensatz zu seinen Vorgängern ist der Wurm anders komprimiert.

Der Wurm führe Backdoor-Funktionen mit, warnt Ikarus-Chef Joe Pichlmayr: Die von dem Wurm infizierten Maschinen werden dadurch ein leichteres Ziel für Angriffe bzw. Zugriffe durch potenzielle Angreifer. Der Wurm installiert eine services.exe-Datei im Windows-Verzeichnis, öffnet den TCP port 1034 bei infizierten Rechnern und wartet auf Verbindungen von "draußen".

Entdeckung wird verzögert

Im Betreff ist Vorsicht geboten unter anderem bei: "delivered", "hello", "hi", "error", "status", "test", "report" und "delivery failed".

Im Mailtext kommen folgende Wendungen vor: "Dear User of ...", "We have received reports that your accout was used to send a large amount of junk", "Email messages during the last week" etc.

Auch bei den Attachements greift der Wurm auf verschiedene Varianten zurück; das Attachement ist manchmal auch einfach oder doppelt gezippt.

Um seine Entdeckung möglichst lang zu verzögern, verschickt sich der Wurm nicht an E-Mail-Adressen, in denen er unter anderem folgende Begriffe findet: spam, abuse, privacy, support, admin, example, microsoft usw.