Abo
  • Services:
Anzeige

Warnung: Explosionsartige Verbreitung eines neuen Wurms

Wurm führt DDoS-Attacke gegen sco.com am 1. Februar 2004 aus

Die Hersteller von Antiviren-Software entdeckten in der Nacht vom 26. auf den 27. Januar 2004 einen neuen Wurm, der sich in kürzester Zeit extrem stark verbreitet hat, weswegen die Virenlabors den Schädling mit den zum Teil höchsten Gefahrenstufen versehen haben. Der MyDoom-Wurm verbreitet sich per E-Mail sowie über das P2P-Netzwerk KaZaA und öffnet eine Hintertür am entsprechenden System, worüber ein Angreifer Kontrolle über einen befallenen PC erlangen kann.

Anzeige

Der MyDoom-Wurm tarnt ausführbare E-Mail-Anhänge als Textdateien, so dass unbedarfte Anwender in den Glauben versetzt werden, sie starten lediglich eine Textdatei und keine ausführbare Datei. Zudem suggeriert der englischsprachige E-Mail-Text, dass es Fehler beim Empfang der betreffenden E-Mail gegeben habe und weitere Informationen im Anhang zu finden seien. Wird dann der Anhang vom Opfer geöffnet, beginnt die Infizierung mit dem Schädling.

Als weiteren Verbreitungsweg schleust sich der Wurm in das KaZaA-Netzwerk ein und legt sich dort unter den Dateinamen activation_crack, icq2004-final, nuke2004, office_crack, rootkitXP, strip-girl-2.0bdcom_patches sowie winamp ab, was KaZaA-Nutzer dazu bringen soll, die betreffenden Dateien auf ihren Rechnern zu laden und auszuführen.

Die E-Mails tragen wechselnde englischsprachige Betreffzeilen, Nachrichtentexte und auch die Dateinamen der Anhänge stammen aus einer Auswahl an Vorlagen, wobei die mit dem Wurm-Code versehenen Anhänge auf die Endungen bat, cmd, exe, pif, scr oder zip enden. Allerdings werden die Anhänge in den E-Mail-Programmen unter Umständen mit dem Icon für Textdateien angezeigt und vermitteln leicht den Eindruck, es handele sich um eine Textdatei. Für eine effektive Vermehrung fälscht der Wurm die Absenderadresse, so dass man die Quelle womöglich als vertraulich einstuft.

Für die Verbreitung per E-Mail durchsucht der Unhold die Dateien mit den Endungen pl, adb, tbb, dbx, asp, php, sht, htm und txt nach E-Mail-Adressen und versendet sich an diese über eine eigene SMTP-Engine. Für eine möglichst effektive Verbreitung generiert der Wurm zusätzlich E-Mail-Adressen aus vordefinierten Textteilen. Bei den gefundenen E-Mail-Adressen ignoriert der Wurm alle Empfänger mit der Endung .edu, so dass Bildungseinrichtungen gezielt von einer Epidemie per E-Mail ausgeschlossen werden.

Als weitere Schadroutine öffnet der Wurm auf den befallenen Systemen die TCP-Ports 3127 bis 3198, so dass ein Angreifer so Zugang zu dem System des Opfers erlangen kann und so etwa Programmcode einschleusen und ausführen kann. Zudem startet der Unhold am 1. Februar 2004 eine DDoS-Attacke gegen sco.com, um den Server in die Knie zu zwingen. Am 12. Februar 2004 beendet der Bösewicht seine Aktivitäten selbsttätig.

Nach Starten des Wurm-Codes öffnet sich das Windows-Notepad, das jedoch nur Datenmüll anzeigt, wobei der Schädling die Dateien "shimgapi.dll" und "taskmon.exe" im Windows-System-Verzeichnis sowie eine Datei mit der Bezeichnung "Message" im Temp-Ordner ablegt. Während "shimgapi.dll" als Proxy-Server arbeitet und die TCP-Ports öffnet, wird die Applikation so in die Registry eingetragen, dass die Datei bei jedem Aufruf des Windows-Explorer gestartet wird. Schließlich wird die Datei "taskmon.exe" so in die Registry eingebunden, dass diese bei jedem Neustart des Rechners ausgeführt wird.

Die Hersteller von Antiviren-Software haben bereits ihre Virensignaturen aktualisiert, so dass eine schnelle Aktualisierung des Virenscanners dringend empfohlen wird.


eye home zur Startseite
Ratatosk 30. Jan 2004

Erst nach der Verbreitungsrate dieses Virus? Nun, wie dem auch sei... Bisher siehts aber...

Blindside 30. Jan 2004

Hm, nach der tollen Verbreitungsrate dieses Virus rechne ich mit 75% DAU Anteil. Wenn die...

mac user 30. Jan 2004

viren sind einfach zu ineffektiv im kampf gegen den syndikalismus der grosskonzerne und...

Ratatosk 29. Jan 2004

Warum? Als DAU, also dümmsten anzunehmenden User, bezeichnet man ja wohl nur Personen...

Sven 29. Jan 2004

Man hätte alle von Viren gesäuberten Mails einfach direkt an SCO weiterleiten sollen das...



Anzeige

Stellenmarkt
  1. über Hays AG, München
  2. über Hays AG, Nordrhein-Westfalen
  3. Robert Bosch GmbH, Stuttgart-Vaihingen
  4. ETAS GmbH & Co. KG, Stuttgart


Anzeige
Spiele-Angebote
  1. 79,98€ + 5€ Rabatt (Vorbesteller-Preisgarantie)
  2. 16,99€
  3. 12,99€

Folgen Sie uns
       


  1. To Be Honest

    Facebook kauft Wahrheits-App

  2. Lüfter

    Noctua kann auch in Schwarz

  3. Microsoft

    Supreme Court entscheidet über die Zukunft der Cloud

  4. Windows 10

    Microsoft zeigt Fluent Design im Detailvideo

  5. Bungie

    Letzte Infos vor dem Start der PC-Fassung von Destiny 2

  6. Ubiquiti Amplifi und Unifi

    Erster Consumer-WLAN-Router wird gegen Krack gepatcht

  7. Samyang

    Lichtstarkes Weitwinkelobjektiv für Sonys FE-Kameras

  8. USB-C

    DxO zeigt Ansteckkamera für Android-Smartphones

  9. SSD

    Samsungs 860 Evo und 970/980 gesichtet

  10. Elektroauto

    Schweißprobleme beim Tesla Model 3 möglich



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

  1. Re: "Das Ubiquiti so schnell reagieren kann"

    as (Golem.de) | 11:37

  2. Re: Im Vergleich zum Fernsehen

    most | 11:37

  3. Re: Release um 18:00?

    -eichi- | 11:37

  4. Und das von Microsoft?

    David64Bit | 11:37

  5. Re: Was mich mehr interessiert..

    muhviehstarrr | 11:36


  1. 11:41

  2. 11:10

  3. 10:42

  4. 10:39

  5. 10:26

  6. 10:08

  7. 09:11

  8. 08:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel