Gelber Alarm für MyDoom.M

EnterpriseSicherheit

Eine neue Mydoom-Variante macht Europa und die USA unsicher.

Eine neue Mydoom-Variante macht Europa und die USA unsicher. MyDoom.M hat bei den Virenspezialisten einen globalen Yellow Alert ausgelöst, um die Ausbreitung zu verhindern. Der SMTP-basierte Mass-Mailing-Wurm tarnt sich als Benachrichtigung über angeblich unzustellbare oder zurückgesendete E-Mails. Bislang wurde das Auftreten dieses Malicious Code nur aus Europa und den USA gemeldet.
WORM_MYDOOM.M verbreitet sich mittels SMTP und E-Mails. Auf befallenen Systemen sucht der Malicious Code zunächst nach einem Internet-Anschluss und verbindet sich daraufhin über einen Mail-Exchanger. Darüber hinaus werden E-Mail-Adressen potenzieller Angriffsziele aus der Windows Address Book Datei gesammelt und mittels Suchmaschinen wie Google oder Yahoo überprüft. Der Wurm fälscht zudem die Absenderadressen der infizierten Nachrichten.

Der  Wurm verbreitet sich in Form eines E-Mail-Attachments. Dieses hängt einer E-Mail-Nachricht an, die vorgibt, entweder vom persönlichen Internet Service Provider oder vom Support-Team des jeweiligen Unternehmens zu sein. Der E-Mail-Text behauptet, dass der eigene Rechner von Hackern missbraucht würde, um Spam zu verschicken.

Der genaue Wortlaut der Nachricht kann bei der zunehmenden Verbreitung von MyDoom.O variieren, doch ein typisches Beispiel ist:

“Dear user _email address _,

Your account was used to send a large amount of spams during this week. Obviously, your computer had been compromised and now runs a trojan proxy server. Please follow instruction in order to keep your computer safe. Have a nice day, user support team.”

Mit den Betreffzeilen der Wurm-Mails soll der Eindruck erweckt werden, dass es sich bei der E-Mail um Meldungen eines E-Mail-Systems handelt. Nachrichtentitel wie “status”, “delivery reports about your e-mail” oder “returned mail: see transcripts for details” werden verwendet, um den Computernutzer zum Öffnen des Anhangs zu verleiten.

Ähnlich wie der ursprüngliche WORM_MYDOOM.A versendet sich auch WORM_MYDOOM.M als Dateianhang mit einer zip-, bat-, pif-, exe- oder scr-Endung. Als Namen verwendet die aktuelle Malware aber Bestandteile der Zieladresse, um so für den Empfänger wichtiger zu erscheinen. Nach Infektion legt WORM_MYDOOM.M unter dem Namen ‘java.exe’ eine Kopie von sich im Windows-Ordner ab und generiert einen Registry-Eintrag. Damit wird die Malware bei jedem Systemstart erneut ausgeführt.

Der mit WORM_MYDOOM.M infizierte Dateianhang hat eine Größe von 28 KB. Gefährdet sind Computer mit den Betriebssystemen Windows 98, ME, NT, 2000 und XP. Der Wurm ist zudem auch unter den Namen W32/Mydoom.O@MM oder Mydoom.M bekannt. Die führenden Antivirus-Hersteller haben bereits Patches veröffentlicht.