Original-URL des Artikels: https://www.golem.de/0401/29512.html    Veröffentlicht: 29.01.2004 11:12    Kurz-URL: https://glm.io/29512

Neuer MyDoom-Wurm agiert noch gefährlicher und tückischer

MyDoom.B verbreitet sich über MyDoom-Backdoor; attackiert Microsoft und SCO

Noch wütet der MyDoom-Wurm im Internet und stellt täglich neue Verbreitungsrekorde auf, da schickt sich bereits ein Nachfolger an, in die Fußstapfen von MyDoom zu treten. So nutzt MyDoom.B die von MyDoom geöffnete Backdoor, um sich ohne Zutun des Opfers auf andere Rechner zu übertragen und zu aktivieren. Während der erste MyDoom-Wurm nur eine DDoS-Attacke gegen SCO ausführen wird, attackiert der Neuling auch Microsofts Webseite. Ferner blockiert MyDoom.B den Besuch von Web-Servern von Antiviren-Software-Herstellern und öffnet eine weitere Backdoor auf befallenen Systemen.

MyDoom.B tut es seinem Vorgänger gleich und versucht, am 1. Februar 2004 eine DDoS-Attacke gegen die Webseite www.sco.com auszuführen. Am darauf folgenden 3. Februar 2004 will der Wurm dann eine DDoS-Attacke gegen die Webseite www.microsoft.com umsetzen. Auch MyDoom.B verbreitet sich per E-Mail und über das Peer-to-Peer-Netzwerk KaZaA, macht sich aber zusätzlich das Verhalten des Vorgängers zu Nutze: Die durch MyDoom geöffnete Backdoor verwendet MyDoom.B, um selbsttätig bereits befallene Systeme zu infizieren. Dazu führt der Unhold einen Netzwerk-Scan mit zufällig gewählten IP-Adressen aus und schleust sich über den Port 3127 auf befallene Rechner, um sich darauf selbsttätig zu starten und das System mit MyDoom.B zu infizieren. PCs mit aktiviertem MyDoom können also ohne weiteres Zutun auch vom neuen Wurm befallen werden.

Die E-Mails des Bösewichts weisen gefälschte Absenderadressen auf und besitzen wechselnde englischsprachige Betreffzeilen sowie Nachrichtentexte. Der Anhang der E-Mail enthält den Wurm-Code, mit dem man sich nur infiziert, wenn man die Datei manuell startet. Auch die Anhänge werden aus einer Anzahl von Vorlagen zusammengestellt, die die Endungen .bat, .cmd, .exe, .pif oder .scr aufweisen und häufig mit .zip enden. Zur Tarnung verwendet der Schädling zudem doppelte Endungen, wobei erstere auf .doc, .htm oder .txt enden, während die tatsächlichen Endungen wie oben genannt lauten.

Die Nachrichtentexte von MyDoom.B geben vor, der Inhalt könne nicht ordnungsgemäß angezeigt werden, um Anwender so dazu zu bringen, den Anhang zu öffnen. Anhängen mit der Endung .exe oder .scr wird das Icon für eine Textdatei zugewiesen, um das Opfer in den Glauben zu versetzen, es öffne keine ausführbare Datei, sondern eine Textdatei. Das Starten des Wurm-Codes öffnet eine fingierte Fehlermeldung und zeigt Datenmüll im Windows-Notepad an.

Zur Sammlung von E-Mail-Adressen durchforstet der Schädling Dateien mit den Endungen .adb, .asp, .dbx, .htm, .php, .pl, .sht, .tbb, .txt sowie .wab und erzeugt zusätzlich E-Mail-Adressen aus vordefinierten Textteilen, um Adressaten zu erreichen, die nicht in diesen Dateien vorkommen. Den Versand übernimmt der Wurm über eine eigene SMTP-Engine.

Bei der Verbreitung über das KaZaA-Netzwerk kopiert sich der Wurm unter den Dateinamen AttackXP-1.26, BlackIce_Firewall_Enterpriseactivation_crack, icq2004-final, MS04-01_hotfix, NessusScan_pro, Winamp5, Xsharez_scanner sowie ZapSetup_40_148 in das Netzwerk und weist den Dateien die Endungen .bat, .exe, .pif oder .scr zu.

Nach der Aktivierung überschreibt der Schädling die lokale Host-Datei, um den Zugriff auf eine Reihe von Webseiten zu verhindern. So kann man nach einer Infektion mit MyDoom.B auf zahlreiche Webseiten und Server nicht mehr zugreifen. So lassen sich Internet-Präsenzen von etlichen Herstellern von Antiviren-Lösungen, einige Werbe-Server-Betreiber sowie Seiten von Microsoft nicht mehr erreichen, wenn der Wurm aufgerufen wurde.

Als Explorer.exe kopiert sich der MyDoom.B in das Windows-System-Verzeichnis und legt im Temp-Ordner die Datei Message ab. Die Datei Explorer.exe ist Bestandteil von Windows-Betriebssystemen, allerdings residiert diese Datei im Windows-Verzeichnis und nicht im System-Ordner. Ferner legt der Schädling einen Proxy-Server mit dem Dateinamen Ctfmon.dll in ebenfalls im Windows-System-Verzeichnis ab, worüber die TCP-Ports 80, 1080, 3128, 8080 und 10080 geöffnet werden, was einem Angreifer Zugang zu dem infizierten System beschert, um darüber Dateien auf den Rechner zu laden und auch auszuführen. Die auf den Rechner übertragenen Dateien werden in die Registry so eingetragen, dass der Wurm bei jedem Rechner-Neustart geladen wird.

Wie der erste MyDoom-Wurm besitzt auch der neue Unhold eine automatische Deaktivierungsroutine, denn nach dem 1. März 2004 stellt der Wurm von sich aus seine Aktivitäten ein. Im Wurm-Code befindet sich zudem die Nachricht "sync-1.01; andy; I'm just doing my job, nothing personal, sorry", die jedoch nicht angezeigt wird.

Hersteller von Antivirenlösungen bieten bereits aktualisierte Signaturdateien zur Erkennung von MyDoom.B an, so dass man seinen Virenscanner schnellstmöglich aktualisieren sollte.

Auch am dritten Tag nach der Aussetzung von MyDoom konnte der Wurm seine Verbreitungsgeschwindigkeit weiter massiv steigern. Bereits am zweiten Tag hat etwa der E-Mail-Provider Postini mehr als 2 Millionen MyDoom-E-Mails gezählt, während bereits einen Tag später die Zahl auf fast 4 Millionen Wurm-E-Mails hochgeschnellt ist. Diesen hohen Verbreitungsgrad bestätigt auch MessageLabs, ein Anbieter von Managed E-Mail Security Services, wonach MyDoom bereits mehr als 3 Millionen Mal gezählt wurde. Die Virenforscher von Network Associates berichten, dass nach ihren Erkenntnissen MyDoom in den ersten 24 Stunden 160.000 Mal in der Stunde entdeckt wurde.  (ip)


Verwandte Artikel:
The Winner is ... der MyDoom-Wurm   
(28.01.2004, https://glm.io/29494 )
Warnung: Explosionsartige Verbreitung eines neuen Wurms   
(27.01.2004, https://glm.io/29467 )
SCO: 250.000 US-Dollar Kopfgeld für MyDoom-Schöpfer   
(28.01.2004, https://glm.io/29490 )
Dreister Wurm: Sober.C droht Nutzern   
(21.12.2003, https://glm.io/29024 )
Bagle-Wurm: Ohne Tricks und doppelten Boden   
(20.01.2004, https://glm.io/29346 )

© 1997–2020 Golem.de, https://www.golem.de/