Mehrere Antivirus-Hersteller warnen vor einer neuen Variante des Mydoom-Wurms. Es wurde eine mittlere Warnstufe ausgelöst, was bedeutet, dass der Wurm bereits in mehreren Regionen gesichtet wurde und sich weiter ausbreitet. McAfee nennt die neue Variante "W32/Mydoom.bb", bei Symantec heißt er "W32.Mydoom.AX", bei Trend Micro "WORM_MYDOOM.BB", AntiVir erkennt ihn als "Worm/MyDoom.BB".
Es handelt sich um eine modifizierte Version von Mydoom.m, der seit letzten Sommer bekannt ist. Mydoom.bb verbreitet sich per Mail mit gefälschten Absenderangaben wie "Postmaster" oder "Mail Administrator" und täuscht in Betreff und Nachricht eine Mitteilung über ein angeblich aufgetretenes Problem vor. Im englischen Text heißt es, vom Account des Empfängers sei Spam verschickt worden oder eine versandte Mail habe nicht zugestellt werden können. Als Betreff verwendet er:
delivered
delivery failed
Delivery reports about your e-mail
error
hello
hi
Mail System Error - Returned Mail
Message could not be delivered
report
Returned mail: Data format error
Returned mail: see transcript for details
status
test
Die Mails enthalten einen Anhang variabler Größe (ca. 25 KB), dessen Dateiname aus mehreren Teilen zusammen gesetzt wird. Einer dieser Namen:
attachment
document
file
instruction
letter
mail
message
readme
text
transcript
wird kombiniert mit einer dieser Endungen:
bat
cmd
com
exe
pif
scr
zip
Es können auch zweifach gezippte Dateien auftreten. Mydoom.bb kopiert sich als "java.exe" ins Windows-Verzeichnis und legt dort unter dem Dateinamen "services.exe" ein Trojanisches Pferd ab. Sollten bereits Dateien mit diesen Namen vorhanden sein, können sie überschrieben werden. Er trägt beide als "JavaVM" respektive "Services" in diesen Registry-Schlüssel ein:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Dadurch werden beide Dateien bei jedem Windows-Start geladen. Der Wurm sucht in diversen Dateitypen nach Mail-Adressen und verwendet die Suchmaschinen Google, Altavista, Lycos und Yahoo zur Suche nach weiteren Adressen, an die er sich versendet. Mydoom.bb lädt noch ein zweites Trojanisches Pferd von einem Web-Server herunter. Die meisten Antivirus-Hersteller haben bereits außer der Reihe Updates bereit gestellt, mit denen der Wurm erkannt wird. Die beiden Trojanischen Pferde sind schon seit einigen Monaten bekannt.
Quelle:
www.pcwelt.de