Abo
  • IT-Karriere:

Warnung: Explosionsartige Verbreitung eines neuen Wurms

Wurm führt DDoS-Attacke gegen sco.com am 1. Februar 2004 aus

Die Hersteller von Antiviren-Software entdeckten in der Nacht vom 26. auf den 27. Januar 2004 einen neuen Wurm, der sich in kürzester Zeit extrem stark verbreitet hat, weswegen die Virenlabors den Schädling mit den zum Teil höchsten Gefahrenstufen versehen haben. Der MyDoom-Wurm verbreitet sich per E-Mail sowie über das P2P-Netzwerk KaZaA und öffnet eine Hintertür am entsprechenden System, worüber ein Angreifer Kontrolle über einen befallenen PC erlangen kann.

Artikel veröffentlicht am ,

Der MyDoom-Wurm tarnt ausführbare E-Mail-Anhänge als Textdateien, so dass unbedarfte Anwender in den Glauben versetzt werden, sie starten lediglich eine Textdatei und keine ausführbare Datei. Zudem suggeriert der englischsprachige E-Mail-Text, dass es Fehler beim Empfang der betreffenden E-Mail gegeben habe und weitere Informationen im Anhang zu finden seien. Wird dann der Anhang vom Opfer geöffnet, beginnt die Infizierung mit dem Schädling.

Stellenmarkt
  1. MSC Technologies GmbH, Neufahrn bei Freising (bei München)
  2. BAM Bundesanstalt für Materialforschung und -prüfung, Berlin-Steglitz

Als weiteren Verbreitungsweg schleust sich der Wurm in das KaZaA-Netzwerk ein und legt sich dort unter den Dateinamen activation_crack, icq2004-final, nuke2004, office_crack, rootkitXP, strip-girl-2.0bdcom_patches sowie winamp ab, was KaZaA-Nutzer dazu bringen soll, die betreffenden Dateien auf ihren Rechnern zu laden und auszuführen.

Die E-Mails tragen wechselnde englischsprachige Betreffzeilen, Nachrichtentexte und auch die Dateinamen der Anhänge stammen aus einer Auswahl an Vorlagen, wobei die mit dem Wurm-Code versehenen Anhänge auf die Endungen bat, cmd, exe, pif, scr oder zip enden. Allerdings werden die Anhänge in den E-Mail-Programmen unter Umständen mit dem Icon für Textdateien angezeigt und vermitteln leicht den Eindruck, es handele sich um eine Textdatei. Für eine effektive Vermehrung fälscht der Wurm die Absenderadresse, so dass man die Quelle womöglich als vertraulich einstuft.

Für die Verbreitung per E-Mail durchsucht der Unhold die Dateien mit den Endungen pl, adb, tbb, dbx, asp, php, sht, htm und txt nach E-Mail-Adressen und versendet sich an diese über eine eigene SMTP-Engine. Für eine möglichst effektive Verbreitung generiert der Wurm zusätzlich E-Mail-Adressen aus vordefinierten Textteilen. Bei den gefundenen E-Mail-Adressen ignoriert der Wurm alle Empfänger mit der Endung .edu, so dass Bildungseinrichtungen gezielt von einer Epidemie per E-Mail ausgeschlossen werden.

Als weitere Schadroutine öffnet der Wurm auf den befallenen Systemen die TCP-Ports 3127 bis 3198, so dass ein Angreifer so Zugang zu dem System des Opfers erlangen kann und so etwa Programmcode einschleusen und ausführen kann. Zudem startet der Unhold am 1. Februar 2004 eine DDoS-Attacke gegen sco.com, um den Server in die Knie zu zwingen. Am 12. Februar 2004 beendet der Bösewicht seine Aktivitäten selbsttätig.

Nach Starten des Wurm-Codes öffnet sich das Windows-Notepad, das jedoch nur Datenmüll anzeigt, wobei der Schädling die Dateien "shimgapi.dll" und "taskmon.exe" im Windows-System-Verzeichnis sowie eine Datei mit der Bezeichnung "Message" im Temp-Ordner ablegt. Während "shimgapi.dll" als Proxy-Server arbeitet und die TCP-Ports öffnet, wird die Applikation so in die Registry eingetragen, dass die Datei bei jedem Aufruf des Windows-Explorer gestartet wird. Schließlich wird die Datei "taskmon.exe" so in die Registry eingebunden, dass diese bei jedem Neustart des Rechners ausgeführt wird.

Die Hersteller von Antiviren-Software haben bereits ihre Virensignaturen aktualisiert, so dass eine schnelle Aktualisierung des Virenscanners dringend empfohlen wird.



Anzeige
Hardware-Angebote

Ratatosk 30. Jan 2004

Erst nach der Verbreitungsrate dieses Virus? Nun, wie dem auch sei... Bisher siehts aber...

Blindside 30. Jan 2004

Hm, nach der tollen Verbreitungsrate dieses Virus rechne ich mit 75% DAU Anteil. Wenn die...

mac user 30. Jan 2004

viren sind einfach zu ineffektiv im kampf gegen den syndikalismus der grosskonzerne und...

Ratatosk 29. Jan 2004

Warum? Als DAU, also dümmsten anzunehmenden User, bezeichnet man ja wohl nur Personen...

Sven 29. Jan 2004

Man hätte alle von Viren gesäuberten Mails einfach direkt an SCO weiterleiten sollen das...


Folgen Sie uns
       


Hallo Magenta und Alexa auf dem Smart Speaker der Telekom

Wetter, Allgemeinwissen, sächsische Aussprache - wir haben den Magenta-Assistenten gegen Alexa antreten lassen.

Hallo Magenta und Alexa auf dem Smart Speaker der Telekom Video aufrufen
Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

Pixel 4 im Hands on: Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro
Pixel 4 im Hands on
Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro

Nach zahlreichen Leaks hat Google das Pixel 4 und das Pixel 4 XL offiziell vorgestellt: Die Smartphones haben erstmals eine Dualkamera - ein Radar-Chip soll zudem die Bedienung verändern. Im Kurztest hinterlassen beide einen guten ersten Eindruck.
Ein Hands on von Tobias Költzsch

  1. Pixel 4 Google will Gesichtsentsperrung sicher machen
  2. Google Pixel 4 entsperrt auch bei geschlossenen Augen
  3. Live Captions Pixel 4 blendet auf dem Gerät erzeugte Untertitel ein

Vision 5 und Epos 2 im Hands on: Tolinos neue E-Book-Reader-Oberklasse ist gelungen
Vision 5 und Epos 2 im Hands on
Tolinos neue E-Book-Reader-Oberklasse ist gelungen

Die Tolino-Allianz bringt zwei neue E-Book-Reader der Oberklasse auf den Markt. Der Vision 5 hat ein 7 Zoll großes Display, beim besonders dünnen Epos 2 ist es ein 8-Zoll-Display. Es gibt typische Oberklasse-Ausstattung - und noch etwas mehr.
Ein Hands on von Ingo Pakalski

  1. Tolino Page 2 Günstiger E-Book-Reader erhält Displaybeleuchtung

    •  /