Abo
  • Services:
Anzeige

Warnung: Explosionsartige Verbreitung eines neuen Wurms

Wurm führt DDoS-Attacke gegen sco.com am 1. Februar 2004 aus

Die Hersteller von Antiviren-Software entdeckten in der Nacht vom 26. auf den 27. Januar 2004 einen neuen Wurm, der sich in kürzester Zeit extrem stark verbreitet hat, weswegen die Virenlabors den Schädling mit den zum Teil höchsten Gefahrenstufen versehen haben. Der MyDoom-Wurm verbreitet sich per E-Mail sowie über das P2P-Netzwerk KaZaA und öffnet eine Hintertür am entsprechenden System, worüber ein Angreifer Kontrolle über einen befallenen PC erlangen kann.

Anzeige

Der MyDoom-Wurm tarnt ausführbare E-Mail-Anhänge als Textdateien, so dass unbedarfte Anwender in den Glauben versetzt werden, sie starten lediglich eine Textdatei und keine ausführbare Datei. Zudem suggeriert der englischsprachige E-Mail-Text, dass es Fehler beim Empfang der betreffenden E-Mail gegeben habe und weitere Informationen im Anhang zu finden seien. Wird dann der Anhang vom Opfer geöffnet, beginnt die Infizierung mit dem Schädling.

Als weiteren Verbreitungsweg schleust sich der Wurm in das KaZaA-Netzwerk ein und legt sich dort unter den Dateinamen activation_crack, icq2004-final, nuke2004, office_crack, rootkitXP, strip-girl-2.0bdcom_patches sowie winamp ab, was KaZaA-Nutzer dazu bringen soll, die betreffenden Dateien auf ihren Rechnern zu laden und auszuführen.

Die E-Mails tragen wechselnde englischsprachige Betreffzeilen, Nachrichtentexte und auch die Dateinamen der Anhänge stammen aus einer Auswahl an Vorlagen, wobei die mit dem Wurm-Code versehenen Anhänge auf die Endungen bat, cmd, exe, pif, scr oder zip enden. Allerdings werden die Anhänge in den E-Mail-Programmen unter Umständen mit dem Icon für Textdateien angezeigt und vermitteln leicht den Eindruck, es handele sich um eine Textdatei. Für eine effektive Vermehrung fälscht der Wurm die Absenderadresse, so dass man die Quelle womöglich als vertraulich einstuft.

Für die Verbreitung per E-Mail durchsucht der Unhold die Dateien mit den Endungen pl, adb, tbb, dbx, asp, php, sht, htm und txt nach E-Mail-Adressen und versendet sich an diese über eine eigene SMTP-Engine. Für eine möglichst effektive Verbreitung generiert der Wurm zusätzlich E-Mail-Adressen aus vordefinierten Textteilen. Bei den gefundenen E-Mail-Adressen ignoriert der Wurm alle Empfänger mit der Endung .edu, so dass Bildungseinrichtungen gezielt von einer Epidemie per E-Mail ausgeschlossen werden.

Als weitere Schadroutine öffnet der Wurm auf den befallenen Systemen die TCP-Ports 3127 bis 3198, so dass ein Angreifer so Zugang zu dem System des Opfers erlangen kann und so etwa Programmcode einschleusen und ausführen kann. Zudem startet der Unhold am 1. Februar 2004 eine DDoS-Attacke gegen sco.com, um den Server in die Knie zu zwingen. Am 12. Februar 2004 beendet der Bösewicht seine Aktivitäten selbsttätig.

Nach Starten des Wurm-Codes öffnet sich das Windows-Notepad, das jedoch nur Datenmüll anzeigt, wobei der Schädling die Dateien "shimgapi.dll" und "taskmon.exe" im Windows-System-Verzeichnis sowie eine Datei mit der Bezeichnung "Message" im Temp-Ordner ablegt. Während "shimgapi.dll" als Proxy-Server arbeitet und die TCP-Ports öffnet, wird die Applikation so in die Registry eingetragen, dass die Datei bei jedem Aufruf des Windows-Explorer gestartet wird. Schließlich wird die Datei "taskmon.exe" so in die Registry eingebunden, dass diese bei jedem Neustart des Rechners ausgeführt wird.

Die Hersteller von Antiviren-Software haben bereits ihre Virensignaturen aktualisiert, so dass eine schnelle Aktualisierung des Virenscanners dringend empfohlen wird.


eye home zur Startseite
Ratatosk 30. Jan 2004

Erst nach der Verbreitungsrate dieses Virus? Nun, wie dem auch sei... Bisher siehts aber...

Blindside 30. Jan 2004

Hm, nach der tollen Verbreitungsrate dieses Virus rechne ich mit 75% DAU Anteil. Wenn die...

mac user 30. Jan 2004

viren sind einfach zu ineffektiv im kampf gegen den syndikalismus der grosskonzerne und...

Ratatosk 29. Jan 2004

Warum? Als DAU, also dümmsten anzunehmenden User, bezeichnet man ja wohl nur Personen...

Sven 29. Jan 2004

Man hätte alle von Viren gesäuberten Mails einfach direkt an SCO weiterleiten sollen das...



Anzeige

Stellenmarkt
  1. AEbt Angewandte Eisenbahntechnik GmbH, Nürnberg
  2. T-Systems International GmbH, Aachen
  3. T-Systems International GmbH, Berlin, Bonn, Essen, Mülheim, Wolfsburg
  4. thyssenkrupp AG, Essen


Anzeige
Top-Angebote
  1. 14,99€ + 1,99€ Versand (für alle die kein NES Classic ergattern konnten)
  2. 10% Rabatt auf ausgewählte Top Gaming Artikel mit dem Gutscheincode: PICKYOURLOOT
  3. 649,00€

Folgen Sie uns
       


  1. Nvidia

    Keine Volta-basierten Geforces in 2017

  2. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  3. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  4. id Software

    Quake Champions startet in den Early Access

  5. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  6. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust

  7. Open Source Projekt

    Oracle will Java EE abgeben

  8. Apple iPhone 5s

    Hacker veröffentlicht Secure-Enclave-Key für alte iPhones

  9. Forum

    Reddit bietet native Unterstützung von Videos

  10. Biomimetik

    Drohne landet kontrolliert an senkrechter Wand



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered: "Mit den Protoss kann man seinen Gegner richtig nerven!"
Starcraft Remastered
"Mit den Protoss kann man seinen Gegner richtig nerven!"
  1. Blizzard Der Name Battle.net bleibt
  2. Blizzard Overwatch bekommt Deathmatches
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Radeon RX Vega Mining-Treiber steigert MH/s deutlich
  2. Radeon RX Vega 56 im Test AMD positioniert sich in der Mitte
  3. Workstation AMD bringt Radeon Pro WX 9100

  1. Re: Öffnungszeiten Online einführen!

    znorf | 09:17

  2. Re: Deshalb braucht man Konkurrenz

    ArcherV | 08:54

  3. Re: in ganz Ostdeutschland gibt es ganze 2 Orte...

    cuthbert34 | 08:51

  4. Re: so ein akku auto ist auch nicht gerade co2 frei

    cuthbert34 | 08:45

  5. Wie eine Firmenübernahme versandet

    derdiedas | 08:32


  1. 17:56

  2. 16:20

  3. 15:30

  4. 15:07

  5. 14:54

  6. 13:48

  7. 13:15

  8. 12:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel