Neuer Internet-Wurm treibt sein Unwesen
Mytob greift an
Wurm verbreitet sich per Mail
Neuer Internet-Wurm treibt sein Unwesen
Eine Flut neuer Mytob-Schädlinge registrieren Sicherheitsunternehmen derzeit: Mit den beiden letzten Mitte Mai entdeckten Varianten CU und CX stieg die Zahl der zu dieser Malware-Familie zählenden Mitglieder auf 103. Nach Angaben des Antivirussoftware-Herstellers Panda versucht der Virenautor durch das Freisetzen neuer Versionen so viele Systeme wie möglich zu infizieren.
Mytob ist ein Internet-Wurm, der sich per E-Mail verbreitet. Allerdings hat er auch die Eigenschaften eines Backdoor-Trojaners und zählt so für einige Sicherheitsunternehmen zur MyDoom-Familie. Die Backdoor dürfte auch der Grund sein, weshalb der Programmierer auf Masse statt Klasse setzt: Hat sich der Schädling auf einem PC eingenistet, kontaktiert er bei einer bestehenden Online-Verbindung einen IRC-Server (Internet Relay Chat) und wartet auf Anweisungen.
Inklusive Backdoor-Trojaner
Neuer Internet-Wurm treibt sein Unwesen
Dies kann etwa der Befehl sein, weitere Malware herunterzuladen oder unbemerkt Keylogger zum Passwort-Klau zu installieren. Die wahre Absicht dürfte jedoch die Schaffung eines möglichst großen, virtuellen Netzwerks infizierter PCs sein, mit dem der Viren-Autor gezielt Spam versenden oder DoS-Attacken (Denial of Service) auf bekannte Server starten kann. Je größer das Bot-Netz, umso heftiger die Attacke. Im Januar 2001 beispielsweise wurden Server von Microsoft durch einen solchen Angriff in die Knie gezwungen: Die Webpräsenz der Firma war stundenlang unerreichbar.
Mit Mytob verseuchte E-Mails versuchen immer mit demselben Muster, Anwender zum Öffnen des gefährlichen Dateianhangs zu verleiten: Der Inhalt der E-Mails ist ein Hinweis auf Probleme mit dem E-Mail-Account oder mit versendeten Nachrichten. Der Dateianhang selbst lautet meist »email-info« oder »email-doc«. Wird das Attachment gestartet, verändert Mytob die Windows-Registry und sucht auf Festplatten und erreichbaren Netzlaufwerken nach weiteren E-Mail-Adressen, um sich zu verbreiten. Zudem schließt der Schädling laufende Antivirus-Software und manipuliert die Windows-Host-Datei. Die Folge: Anwender haben keine Möglichkeit mehr, per Browser die Webseiten von Symantec & Co. zu öffnen.
Um vor Mytob und Konsorten sicher zu sein, ist ein regelmäßiges, möglichst tägliches Virensignatur-Update nötig. Große Antivirus-Unternehmen aktualisieren diese DAT-Files fast stündlich. Wurde ein infizierter PC erfolgreich gereinigt, empfiehlt sich ein anschließender Spyware-Scan, da das Backdoor-Modul bereits weitere Schädlinge auf die Festplatte geladen haben kann.