Neuer MyDoom-Wurm agiert noch gefährlicher und tückischer

Bei der Verbreitung über das KaZaA-Netzwerk kopiert sich der Wurm unter den Dateinamen AttackXP-1.26, BlackIce_Firewall_Enterpriseactivation_crack, icq2004-final, MS04-01_hotfix, NessusScan_pro, Winamp5, Xsharez_scanner sowie ZapSetup_40_148 in das Netzwerk und weist den Dateien die Endungen .bat, .exe, .pif oder .scr zu.

Nach der Aktivierung überschreibt der Schädling die lokale Host-Datei, um den Zugriff auf eine Reihe von Webseiten zu verhindern. So kann man nach einer Infektion mit MyDoom.B auf zahlreiche Webseiten und Server nicht mehr zugreifen. So lassen sich Internet-Präsenzen von etlichen Herstellern von Antiviren-Lösungen, einige Werbe-Server-Betreiber sowie Seiten von Microsoft nicht mehr erreichen, wenn der Wurm aufgerufen wurde.

Als Explorer.exe kopiert sich der MyDoom.B in das Windows-System-Verzeichnis und legt im Temp-Ordner die Datei Message ab. Die Datei Explorer.exe ist Bestandteil von Windows-Betriebssystemen, allerdings residiert diese Datei im Windows-Verzeichnis und nicht im System-Ordner. Ferner legt der Schädling einen Proxy-Server mit dem Dateinamen Ctfmon.dll in ebenfalls im Windows-System-Verzeichnis ab, worüber die TCP-Ports 80, 1080, 3128, 8080 und 10080 geöffnet werden, was einem Angreifer Zugang zu dem infizierten System beschert, um darüber Dateien auf den Rechner zu laden und auch auszuführen. Die auf den Rechner übertragenen Dateien werden in die Registry so eingetragen, dass der Wurm bei jedem Rechner-Neustart geladen wird.

Wie der erste MyDoom-Wurm besitzt auch der neue Unhold eine automatische Deaktivierungsroutine, denn nach dem 1. März 2004 stellt der Wurm von sich aus seine Aktivitäten ein. Im Wurm-Code befindet sich zudem die Nachricht "sync-1.01; andy; I'm just doing my job, nothing personal, sorry", die jedoch nicht angezeigt wird.

Hersteller von Antivirenlösungen bieten bereits aktualisierte Signaturdateien zur Erkennung von MyDoom.B an, so dass man seinen Virenscanner schnellstmöglich aktualisieren sollte.

Auch am dritten Tag nach der Aussetzung von MyDoom konnte der Wurm seine Verbreitungsgeschwindigkeit weiter massiv steigern. Bereits am zweiten Tag hat etwa der E-Mail-Provider Postini mehr als 2 Millionen MyDoom-E-Mails gezählt, während bereits einen Tag später die Zahl auf fast 4 Millionen Wurm-E-Mails hochgeschnellt ist. Diesen hohen Verbreitungsgrad bestätigt auch MessageLabs, ein Anbieter von Managed E-Mail Security Services, wonach MyDoom bereits mehr als 3 Millionen Mal gezählt wurde. Die Virenforscher von Network Associates berichten, dass nach ihren Erkenntnissen MyDoom in den ersten 24 Stunden 160.000 Mal in der Stunde entdeckt wurde.