Neuer MyDoom-Wurm attackiert nur noch Microsoft

Automatische Verbreitung über MyDoom-Hintertüren. Die Hersteller von Antviren-Software entdeckten mit Doomjuice alias MyDoom.C einen Wurm, der sich die von den ersten beiden MyDoom-Würmern geöffneten Hintertüren zu Nutze macht und sich darüber selbsttätig verbreitet. Während MyDoom.A eine DoS-Attacke gegen SCOs Webseite ausführte, war Microsoft zusätzlich das Ziel von MyDoom.B , während Doomjuice nur noch Microsofts Webseiten angreift.

10. Februar 2004 um 10:12 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Die Verbreitungsart von Doomjuice gleicht der von MyDoom.B , denn der aktuelle Wurm nutzt die geöffneten Hintertüren auf mit MyDoom infizierten Rechnern und verbreitet sich so automatisch im Internet. Eine Verbreitungsroutine wie die ersten beiden MyDoom-Würmer per E-Mail kennt Doomjuice nicht.

Zur Verbreitung generiert Doomjuice zufällige IP-Adressen und versucht über den durch den MyDoom-Wurm geöffneten TCP-Port 3127 auf andere Rechner zu gelangen. Der aktuelle Wurm empfängt Befehle, so dass der Schädling eine Kopie von sich selbst an den betreffenden Rechner versendet, wobei MyDoom die empfangene Datei akzeptiert und ausführt.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: NIS 2-Sicherheitsmanagement: Integration mit ISMS, ISO 27001, IT-Grundschutz: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Linux Administration: Sicherheit (E-Learning)

zum Kurs

Bereits seit dem 8. Februar 2004 soll der Wurm eine DoS-Attacke gegen die Webseite von Microsoft ausführen, um den Server von Microsoft in die Knie zu zwingen, was jedoch bislang ohne nennenswerte Folgen blieb. MyDoom.A hatte es auf die Webseite von SCO abgesehen und damit auch Erfolg gehabt , während die DoS-Attacke von MyDoom.B gegen Microsoft bereits ins Leere lief.

Wurde der Wurm ausgeführt, kopiert er sich unter dem Dateinamen intrenat.exe in das Windows-System-Verzeichnis und trägt sich so in die Registry ein, dass der Unhold bei jedem Neustart des Betriebssystems gestartet wird. Dort legt er zudem die Datei sync-src-1.00.tbz ab, die sich dann auch im Windows-, Temp- und Profile-Verzeichnis des Anwenders sowie im Root-Ordner und allen angeschlossenen Laufwerken befindet. Hinter der Datei verbirgt sich ein als bzip2-komprimiertes tar-Archiv, das den Source-Code von MyDoom.A enthält.

Die Hersteller von Antiviren-Software bieten bereits entsprechende Signaturdateien zur Erkennung von Viren und Würmern an, so dass der verwendete Virenscanner aktualisiert werden sollte.

Zur Startseite Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Neuer Wurm bekämpft MyDoom-Wurm

Aktueller Wurm nutzt Hintertür von MyDoom. Die Hersteller von Antiviren-Software haben eine interessante Entdeckung gemacht, denn ein aktuell in Umlauf befindlicher Wurm bekämpft vor allem den MyDoom-Wurm in den beiden Varianten A und B. Der unter der Bezeichnung Vesser oder Deadhat agierende Wurm schleust sich über die von MyDoom geöffneten Hintertüren in befallene Systeme ein.

Auch Microsoft setzt Kopfgeld auf MyDoom-Schöpfer aus

250.000 US-Dollar für Ergreifung des Wurm-Autors; MyDoom verbreitet sich weiter. Nach dem Erscheinen des ersten MyDoom-Wurms hat SCO eine Belohnung in Höhe von 250.000 US-Dollar zur Ergreifung des Autors des MyDoom-Wurms bereitgestellt, dem nun auch Microsoft folgt. Nachdem der erste Ableger von MyDoom nicht nur eine DoS-Attacke gegen SCO, sondern auch einen Angriff gegen Microsoft ausführen soll, vergibt auch Microsoft eine Belohnung von 250.000 US-Dollar für die Ergreifung des MyDoom.B-Schöpfers.

Relevante Themen