Ein Wurm als Mail-Administrator
Der japanische Security-Spezialist Trend Micro hat einen globalen "Yellow Allert" ausgelöst, um die Ausbreitung der neuen Variante des Wurms "Mytob" so rasch wie möglich zu verhindern. Die "Mytob"-Migration "Mytob.AR" verwendet klassische Social-Engineering-Techniken, um unerfahrene Anwender hinters Licht zu führen.
"Mytob.AR" gibt sich, ähnlich der Nachricht eines Administrators, als wichtige Meldung bezüglich des eigenen E-Mail-Accounts aus. Unterschiedliche Betreffs und Inhalte fordern den Empfänger auf, auf diese Nachricht zu reagieren, da sonst die Sperrung oder Deaktivierung des E-Mail-Accounts droht.
Wird der E-Mail-Anhang geöffnet, hinterlässt der Wurm eine Datei mit dem Namen der belgischen Schauspielerin Lien Van de Kelder in den Windows-System-Ordnern. Die Spyware-Komponente erlaubt dem Angreifer, Zugriffe auf die Website Mediatickets.net zu verfolgen. Damit wird laut Trend Micro ermöglicht, dass Infizierungsraten und Anwenderverhalten aufgezeichnet und verfolgt werden. "Mytob.AR" ist derzeit noch nicht sehr verbreitet, das Schadens- und Verbreitungspotenzial wird als äußerst hoch eingeschätzt.
Die Anti-Viren-Spezialisten aus dem Hause H+BEDV warnen wiederum "TR/Dldr.Bagle.BR" sowie zwei weiteren Trojaner-Varianten, "TR/Dldr.Bagle.BR1" und "TR/Dldr.Bagle.BR2". Die Trojaner verbreitet sich per E-Mail und laden weitere Komponenten nach.
Neue "Bagle"-VariantenSpeicherresistent mit Hintertür
Trend Micro hat bereits über 100 Varianten des "Mytob"-Wurms identifiziert. Ähnlich wie seine Vorgänger verbreitet sich der neue, speicherresistente Wurm dadurch, dass er eine Kopie von sich selbst als E-Mail-Anhang anfertigt.
Der Versand erfolgt über eine eigene SMTP-Engine. Dazu lädt er ein Programm herunter, das Adware auf dem Rechner der Opfer hinterlegt. Zusätzlich verfügt "Mytob" über Backdoor-Fähigkeiten und kann über einen eingebauten IRC-Bot [Internet-Relay-Chat] Verbindungen zu Servern aufbauen.