Diesen Beitrag per E-Mail versenden
|
Diesen Beitrag ausdrucken
|
|
|
Rubrik: Virenwarnung/Aktuelle Meldungen F-Secure: "Mydoom" startet DDoS-Attacke und öffnet Hackern Hintertür zu befallenen Rechnern Attacke richtet sich gegen die Website von SCO (27.01.04)
- F-Secure warnt vor einem sich rasant verbreitenden neuen Wurm. Der
Schädling mit dem Namen Mydoom (alias Novarg, Shimgapi oder W32/Mydoom.A@mm)
verbreitet sich über E-Mail-Anhänge und über die Tauschbörse Kazaa. Die
E-Mails, die den Wurm transportieren, haben zufällige Betreffzeilen und
Nachrichtentexte. Auch die Namen der Attachments variieren, die Dateien enden
jedoch entweder auf ZIP, BAT, CMD, EXE, PIF oder SCR. Öffnet ein User
unvorsichtigerweise den Dateianhang, startet der Wurm das Programm Notepad
und zeigt einen Text mit wahllos aneinander gereihten Zeichen. Zudem kopiert
sich Mydoom als taskmon.exe in das Windows Systemverzeichnis und aktiviert
sich bei jedem Systemstart neu. Wird
ein von Mydoom infizierter Rechner am 1. Februar oder später gebootet,
startet der Schädling eine Distributed Denial of Service-Attacke gegen die
Website SCO.com. Zudem öffnet der Wurm über die TCP Ports 3127 bis 3198 eine
Hintertür zu den infizierten PCs und gewährt dem Wurmautor auf diese Weise
Zugriff. Auch wenn Mydoom so programmiert ist, dass er seine Verbreitung am
12. Februar stoppt, bleibt die Backdoor weiter aktiv. SCO
unter Beschuss Die
Wogen in der öffentlichen Diskussion schlugen hoch, als SCO, einer der
größten Unix-Anbieter weltweit, im letzten Dezember behauptete, dass das Linux-Betriebssystem
SCOs geistige Eigentumsrechte an der Unix-Technologie verletze. "Es gibt
viele Kids da draußen, die sich von SCO angegriffen fühlen", kommentiert
Mikko Hyppönen, Director of Anti-Virus Research bei F-Secure. "Offensichtlich
hat einer beschlossen, dass es OK ist zurück zu schlagen." Verbreitung
über E-Mail und Kazaa Mydoom
durchsucht befallene Rechner nach Mail-Adressen und verschickt sich an diese
über eine eigene SMTP-Engine. Der Betreff der infizierten Mails kann zum
Beispiel "test", "Mail Delivery System", "Mail
Transaction Failed", "Status" oder "Error" heißen.
Hat der User auf dem infizierten PC Kazaa installiert, kopiert sich Mydoom in
das für das Peer-to-Peer Netzwerk vorgesehene Verzeichnis und nutzt dabei
Namen wie "winamp 5", "icq2004-final",
"activation_crack", "strip-girl-2.0bdcom_patches",
"rootkitXP", "office_crack" oder "nuke2004". Ein
Update zum Schutz vor Mydoom wurde der F-Secure Virendefinitions-Datenbank am
26. Januar um 23.01 Uhr hinzugefügt. Weitere Informationen über den Wurm sind
zu finden unter http://www.f-secure.com/v-descs/novarg.shtml
. F-Secure wird Anwendern zudem ein kostenloses Tool zum Entfernen von Mydoom zur Verfügung stellen. (ma) F-Secure Kontakt: Sandra Proske Tel.
(089) 787467-22, Fax (089) 787467-99 E-Mail:
sandra.proske@f-secure.com Kontakt:
Travis Witteveen Tel. (089) 78746711 E-Mail: travis.witteveen@f-secure.com Web: www.f-secure.com |