Abo
  • Services:

Warnung: Explosionsartige Verbreitung eines neuen Wurms

Wurm führt DDoS-Attacke gegen sco.com am 1. Februar 2004 aus

Die Hersteller von Antiviren-Software entdeckten in der Nacht vom 26. auf den 27. Januar 2004 einen neuen Wurm, der sich in kürzester Zeit extrem stark verbreitet hat, weswegen die Virenlabors den Schädling mit den zum Teil höchsten Gefahrenstufen versehen haben. Der MyDoom-Wurm verbreitet sich per E-Mail sowie über das P2P-Netzwerk KaZaA und öffnet eine Hintertür am entsprechenden System, worüber ein Angreifer Kontrolle über einen befallenen PC erlangen kann.

Artikel veröffentlicht am ,

Der MyDoom-Wurm tarnt ausführbare E-Mail-Anhänge als Textdateien, so dass unbedarfte Anwender in den Glauben versetzt werden, sie starten lediglich eine Textdatei und keine ausführbare Datei. Zudem suggeriert der englischsprachige E-Mail-Text, dass es Fehler beim Empfang der betreffenden E-Mail gegeben habe und weitere Informationen im Anhang zu finden seien. Wird dann der Anhang vom Opfer geöffnet, beginnt die Infizierung mit dem Schädling.

Stellenmarkt
  1. Diehl Metall Stiftung & Co. KG, Röthenbach an der Pegnitz
  2. AKDB, Regensburg

Als weiteren Verbreitungsweg schleust sich der Wurm in das KaZaA-Netzwerk ein und legt sich dort unter den Dateinamen activation_crack, icq2004-final, nuke2004, office_crack, rootkitXP, strip-girl-2.0bdcom_patches sowie winamp ab, was KaZaA-Nutzer dazu bringen soll, die betreffenden Dateien auf ihren Rechnern zu laden und auszuführen.

Die E-Mails tragen wechselnde englischsprachige Betreffzeilen, Nachrichtentexte und auch die Dateinamen der Anhänge stammen aus einer Auswahl an Vorlagen, wobei die mit dem Wurm-Code versehenen Anhänge auf die Endungen bat, cmd, exe, pif, scr oder zip enden. Allerdings werden die Anhänge in den E-Mail-Programmen unter Umständen mit dem Icon für Textdateien angezeigt und vermitteln leicht den Eindruck, es handele sich um eine Textdatei. Für eine effektive Vermehrung fälscht der Wurm die Absenderadresse, so dass man die Quelle womöglich als vertraulich einstuft.

Für die Verbreitung per E-Mail durchsucht der Unhold die Dateien mit den Endungen pl, adb, tbb, dbx, asp, php, sht, htm und txt nach E-Mail-Adressen und versendet sich an diese über eine eigene SMTP-Engine. Für eine möglichst effektive Verbreitung generiert der Wurm zusätzlich E-Mail-Adressen aus vordefinierten Textteilen. Bei den gefundenen E-Mail-Adressen ignoriert der Wurm alle Empfänger mit der Endung .edu, so dass Bildungseinrichtungen gezielt von einer Epidemie per E-Mail ausgeschlossen werden.

Als weitere Schadroutine öffnet der Wurm auf den befallenen Systemen die TCP-Ports 3127 bis 3198, so dass ein Angreifer so Zugang zu dem System des Opfers erlangen kann und so etwa Programmcode einschleusen und ausführen kann. Zudem startet der Unhold am 1. Februar 2004 eine DDoS-Attacke gegen sco.com, um den Server in die Knie zu zwingen. Am 12. Februar 2004 beendet der Bösewicht seine Aktivitäten selbsttätig.

Nach Starten des Wurm-Codes öffnet sich das Windows-Notepad, das jedoch nur Datenmüll anzeigt, wobei der Schädling die Dateien "shimgapi.dll" und "taskmon.exe" im Windows-System-Verzeichnis sowie eine Datei mit der Bezeichnung "Message" im Temp-Ordner ablegt. Während "shimgapi.dll" als Proxy-Server arbeitet und die TCP-Ports öffnet, wird die Applikation so in die Registry eingetragen, dass die Datei bei jedem Aufruf des Windows-Explorer gestartet wird. Schließlich wird die Datei "taskmon.exe" so in die Registry eingebunden, dass diese bei jedem Neustart des Rechners ausgeführt wird.

Die Hersteller von Antiviren-Software haben bereits ihre Virensignaturen aktualisiert, so dass eine schnelle Aktualisierung des Virenscanners dringend empfohlen wird.



Anzeige
Top-Angebote
  1. (nur bis Montag 9 Uhr)
  2. für 134,98€/176,98€ (Bestpreise!)
  3. (u. a. Mass Effect: Andromeda PS4/XBO für 15€, Mission Impossible 1-5 Box 14,99€ und Acer...
  4. 93,95€ (Bestpreis!)

Ratatosk 30. Jan 2004

Erst nach der Verbreitungsrate dieses Virus? Nun, wie dem auch sei... Bisher siehts aber...

Blindside 30. Jan 2004

Hm, nach der tollen Verbreitungsrate dieses Virus rechne ich mit 75% DAU Anteil. Wenn die...

mac user 30. Jan 2004

viren sind einfach zu ineffektiv im kampf gegen den syndikalismus der grosskonzerne und...

Ratatosk 29. Jan 2004

Warum? Als DAU, also dümmsten anzunehmenden User, bezeichnet man ja wohl nur Personen...

Sven 29. Jan 2004

Man hätte alle von Viren gesäuberten Mails einfach direkt an SCO weiterleiten sollen das...


Folgen Sie uns
       


Byton K-Byte - Bericht

Byton stellt in China den K-Byte vor.

Byton K-Byte - Bericht Video aufrufen
Sun to Liquid: Wie mit Sonnenlicht sauberes Kerosin erzeugt wird
Sun to Liquid
Wie mit Sonnenlicht sauberes Kerosin erzeugt wird

Wasser, Kohlendioxid und Sonnenlicht ergeben: Treibstoff. In Spanien wird eine Anlage in Betrieb genommen, in der mit Hilfe von Sonnenlicht eine Vorstufe für synthetisches Kerosin erzeugt oder Wasserstoff gewonnen wird. Ein Projektverantwortlicher vom DLR hat uns erklärt, warum die Forschung an Brennstoffen trotz Energiewende sinnvoll ist.
Ein Bericht von Werner Pluta

  1. Deep Sea Mining Deep Green holte Manganknollen vom Meeresgrund
  2. Klimaschutz Unter der Erde ist das Kohlendioxid gut aufgehoben
  3. Physik Maserlicht aus Diamant

Anthem angespielt: Action in fremder Welt und Abkühlung im Wasserfall
Anthem angespielt
Action in fremder Welt und Abkühlung im Wasserfall

E3 2018 Eine interessante Welt, schicke Grafik und ein erstaunlich gutes Fluggefühl: Golem.de hat das Actionrollenspiel Anthem von Bioware ausprobiert.

  1. Dying Light 2 Stadtentwicklung mit Schwung
  2. E3 2018 Eindrücke, Analysen und Zuschauerfragen
  3. Control Remedy Entertainment mit übersinnlichen Räumen

Kreuzschifffahrt: Wie Brennstoffzellen Schiffe sauberer machen
Kreuzschifffahrt
Wie Brennstoffzellen Schiffe sauberer machen

Die Schifffahrtsbranche ist nicht gerade umweltfreundlich: Auf hoher See werden die Maschinen der großen Schiffe mit Schweröl befeuert, im Hafen verschmutzen Dieselabgase die Luft. Das sollen Brennstoffzellen ändern - wenigstens in der Kreuzschifffahrt.
Von Werner Pluta

  1. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  2. Roboat MIT-Forscher drucken autonom fahrende Boote
  3. Elektromobilität Norwegen baut mehr Elektrofähren

    •  /