Original-URL des Artikels: https://www.golem.de/0502/36384.html    Veröffentlicht: 17.02.2005 12:13    Kurz-URL: https://glm.io/36384

Variante des MyDoom-Wurms durchstöbert Suchmaschinen

Sucht über Altavista, Google, Yahoo und Lycos nach E-Mail-Adressen

Wie mehrere Antivirenhersteller berichten, verbreitet sich eine neue Variante des MyDoom-Wurms besonders stark im Internet, der wie einer seiner Vorgänger zahlreiche Suchmaschinen nutzt, um darüber nach gültigen E-Mail-Adressen zu suchen. Damit soll eine breite Streuung des Wurms erreicht werden, außerdem installiert der Wurm ein Trojanisches Pferd auf einem befallenen System.

Je nach Antivirenhersteller heißt der neue Schädling MyDoom.AU, MyDoom.AX, MyDoom.BB oder auch MyDoom.MM. Er fragt die Suchmaschinen von Altavista, Google, Yahoo und Lycos ab, um so an noch mehr E-Mail-Adressen zu gelangen. Zusätzlich durchforstet der Wurm etliche lokale Dateien nach E-Mail-Adressen und scannt die E-Mail-Adressen von offenen Outlook-Fenstern, um sich mit einer eigenen SMTP-Engine an diese zu versenden.

Dabei wird - wie seit langem üblich - die Absenderadresse gefälscht, so dass diese Angabe keinen Aufschluss über den wahren Urheber gibt. Der aktuelle MyDoom-Wurm versucht - offenbar erfolgreich - mit Hilfe einer entsprechenden Betreffzeile samt Nachrichtentext in englischer Sprache, die Empfänger zum Öffnen des wurmverseuchten Anhangs zu bewegen. Dazu suggeriert der Wurm unter anderem, dass eine E-Mail nicht versendet worden sei, wobei die Information von einem Mail-Server oder Ähnlichem stamme.

Der Wurm-Code steckt in den mit wechselnden Dateinamen versehenen Anhängen, die auf .bat, .cmd, .com, .exe, .pif, .scr, oder .zip enden. Der zufällig ausgewählte Dateiname kann die Bezeichnung der Empfänger-Domain enthalten, womit sich der Schädling weiteres Vertrauen erschleichen will. Wird der Wurm-Code im Anhang ausgeführt, nistet sich der Unhold so im System ein, dass er über einen Registry-Eintrag bei jedem Neustart des Windows-Rechners automatisch geladen wird.

Als weitere Schadroutine lädt der Wurm ein Trojanisches Pferd auf den Rechner, um sich so Kontrolle über ein fremdes System zu verschaffen. Ferner öffnet er den TCP-Port 1034 und schafft sich so eine Hintertür auf ein befallenes System.

Die Hersteller von Antiviren-Lösungen haben ihre Signaturdateien aktualisiert, so dass diese die aktuelle MyDoom-Variante erkennen sollten.  (ip)


Verwandte Artikel:
Wurm nutzt offenes Sicherheitsloch im Internet Explorer   
(09.11.2004, https://glm.io/34615 )
Sober-Wurm mit deutschen Texten verbreitet sich   
(31.01.2005, https://glm.io/35985 )
Bagle-Wurm setzt abermals zum Angriff an   
(27.01.2005, https://glm.io/35936 )
Smartphones: Broadpwn-Lücke könnte drahtlosen Wurm ermöglichen   
(28.07.2017, https://glm.io/129169 )
Wegen Wanna Cry: Australische Polizei nimmt Strafen gegen Raser zurück   
(26.06.2017, https://glm.io/128576 )

© 1997–2019 Golem.de, https://www.golem.de/