Neuer MyDoom-Wurm agiert noch gefährlicher und tückischer
MyDoom.B verbreitet sich über MyDoom-Backdoor; attackiert Microsoft und SCO
Noch wütet der MyDoom-Wurm im Internet und stellt täglich neue Verbreitungsrekorde auf, da schickt sich bereits ein Nachfolger an, in die Fußstapfen von MyDoom zu treten. So nutzt MyDoom.B die von MyDoom geöffnete Backdoor, um sich ohne Zutun des Opfers auf andere Rechner zu übertragen und zu aktivieren. Während der erste MyDoom-Wurm nur eine DDoS-Attacke gegen SCO ausführen wird, attackiert der Neuling auch Microsofts Webseite. Ferner blockiert MyDoom.B den Besuch von Web-Servern von Antiviren-Software-Herstellern und öffnet eine weitere Backdoor auf befallenen Systemen.
MyDoom.B tut es seinem Vorgänger gleich und versucht, am 1. Februar 2004 eine DDoS-Attacke gegen die Webseite www.sco.com auszuführen. Am darauf folgenden 3. Februar 2004 will der Wurm dann eine DDoS-Attacke gegen die Webseite www.microsoft.com umsetzen. Auch MyDoom.B verbreitet sich per E-Mail und über das Peer-to-Peer-Netzwerk KaZaA, macht sich aber zusätzlich das Verhalten des Vorgängers zu Nutze: Die durch MyDoom geöffnete Backdoor verwendet MyDoom.B, um selbsttätig bereits befallene Systeme zu infizieren. Dazu führt der Unhold einen Netzwerk-Scan mit zufällig gewählten IP-Adressen aus und schleust sich über den Port 3127 auf befallene Rechner, um sich darauf selbsttätig zu starten und das System mit MyDoom.B zu infizieren. PCs mit aktiviertem MyDoom können also ohne weiteres Zutun auch vom neuen Wurm befallen werden.
Die E-Mails des Bösewichts weisen gefälschte Absenderadressen auf und besitzen wechselnde englischsprachige Betreffzeilen sowie Nachrichtentexte. Der Anhang der E-Mail enthält den Wurm-Code, mit dem man sich nur infiziert, wenn man die Datei manuell startet. Auch die Anhänge werden aus einer Anzahl von Vorlagen zusammengestellt, die die Endungen .bat, .cmd, .exe, .pif oder .scr aufweisen und häufig mit .zip enden. Zur Tarnung verwendet der Schädling zudem doppelte Endungen, wobei erstere auf .doc, .htm oder .txt enden, während die tatsächlichen Endungen wie oben genannt lauten.
Die Nachrichtentexte von MyDoom.B geben vor, der Inhalt könne nicht ordnungsgemäß angezeigt werden, um Anwender so dazu zu bringen, den Anhang zu öffnen. Anhängen mit der Endung .exe oder .scr wird das Icon für eine Textdatei zugewiesen, um das Opfer in den Glauben zu versetzen, es öffne keine ausführbare Datei, sondern eine Textdatei. Das Starten des Wurm-Codes öffnet eine fingierte Fehlermeldung und zeigt Datenmüll im Windows-Notepad an.
Zur Sammlung von E-Mail-Adressen durchforstet der Schädling Dateien mit den Endungen .adb, .asp, .dbx, .htm, .php, .pl, .sht, .tbb, .txt sowie .wab und erzeugt zusätzlich E-Mail-Adressen aus vordefinierten Textteilen, um Adressaten zu erreichen, die nicht in diesen Dateien vorkommen. Den Versand übernimmt der Wurm über eine eigene SMTP-Engine.
.jpg)
Geile Idee, Mann. Echt geil. - und gut in Szene gesetzt. Sieht man wieder, dass die...
Deine Beschreibung der Veränderung zwischen Pflegeaufwand durch Nutzungszeit eines...
Du hast recht. Es ist genau so dämlich, wie in den Einfüllstutzen des Tanks vom Auto zu...
Und eine Datei wie 'tittenbild.jpg .exe' ? Soll die Dummheit mancher User nicht...
.... einen hab ich noch.... Von wegen "als Textfile tarnen".. ein Dateiname wie...
Kommentieren