Wurm MyDoom.M überhäuft Google und Yahoo mit Anfragen

SicherheitSicherheitsmanagementVirus

Der Schädling, 13. Aufguss des alten MyDoom-Wurms, tarnt sich als Rückmeldung unzustellbarer E-Mail. Der schon seit Januar aktive Wurm verbreitet sich derzeit durch die neuen Mail-Inhalte sehr schnell.

Sicherheitsspezialist Trend Micro warnt vor der Ausbreitung von MyDoom.M. Der SMTP-basierte Mass-Mailing-Wurm tarnt sich als Benachrichtigung über unzustellbare E-Mails. Bislang wurde Trend Micro das Auftreten dieses gefährlichen Codes aus Europa und den USA gemeldet. MyDoom.M verbreitet sich mittels eigener SMTP-Engine per E-Mail. Auf befallenen Systemen sucht der Code zunächst nach einem Internetanschluss. Darüber hinaus werden E-Mail-Adressen potenzieller Angriffziele aus dem Windows Addressbuch gesammelt und mittels Suchmaschinen wie Google, Yahoo, Lycos und AltaVista überprüft. Der Wurm fälscht zudem die Absenderadressen der infizierten Nachrichten.

Mit den Betreffzeilen der Wurm-Mails soll der Eindruck erweckt werden, dass es sich um Rückmeldungen eines E-Mail-Systems handelt. Nachrichtentitel wie “status”, “delivery reports about your e-mail” oder “returned mail: see transcripts for details” werden verwendet, um den Computernutzer zum Öffnen des Anhangs zu verleiten.

“Jeder Anwender ist natürlich besorgt, wenn E-Mails anscheinend nicht zugestellt wurden – diesen Umstand nutzen Virenprogrammierer aus”, so Joe Hartmann, Senior Virus Researcher und Analyst bei Trend Micro. Auch MyDoom.A, der erstmals Ende Januar 2004 auftauchte, gab sich als offizielle Benachrichtigung eines Systemadministrators aus.

Im Nachrichtentext wird der Anwender zudem davor gewarnt, dass sein Computer angeblich von unautorisierten Personen für den Spam-Versand missbraucht wird. Ähnlich wie der ursprüngliche MyDoom Wurm (Varinte A) versendet sich auch MyDoom.M als Dateianhang mit einer ZIP-, BAT-, PIF-, EXE- oder SCR-Endung. Als Namen verwendet die aktuelle Malware aber Bestandteile der Zieladresse, um so für den Empfänger wichtiger zu erscheinen. Nach erfolgter Infektion legt der Fiesling unter dem Namen Java.exe eine Kopie von sich im Windows-Ordner ab und generiert einen Registry-Eintrag. Damit wird die Malware bei jedem Systemstart erneut ausgeführt.

Der mit MyDoom.M infizierte Dateianhang hat eine Größe von 28 KByte. Gefährdet sind Computer mit den Betriebssystemen Windows 98, ME, NT, 2000 und XP. (mk)
(
de.internet.com
– testticker.de)

Weitere Infos:

Trend Micro

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen