Rubrik: Virenwarnung/Aktuelle Meldungen

Kaspersky Labs: "Mimail.Q" verfügt über einen kryptographischen Schutz gegen Antiviren

Bei jedem Neustart des infizierten Rechners ändert der Wurm den Chiffrierschlüssel

(27.01.04) - Kaspersky Labs warnt vor einer neuen Modifikation des berüchtigten E-Mail-Wurms "Mimail", "Mimail.Q". Die neue Version verfügt über einen kryptographischen Schutz gegen Antiviren und hat bereits einzelne Fälle von Infizierungen hervorgerufen. Kaspersky Labs prognostiziert eine epidemieartige Ausbreitung in den nächsten Tagen und empfiehlt den Anwendern, sofort ihr Antiviren-Programm zu aktualisieren.

Mimail.Q verbreitet sich über E-Mail unterschiedlichsten Inhalts (mehrere Dutzend Varianten) und mit zufällig gewählten Namen der angehängten Dateien. Der Wurm besteht aus zwei Teilen; einem Dropper (Modul zur Installation des Hauptteils) und einem Wirt (Hauptteil).

Wenn der Anwender unvorsichtig genug war, die Datei im Anhang einer infizierten E-Mail zu starten, lässt der Dropper ein Fenster mit einer falschen Fehlermeldung erscheinen, kopiert sich unter dem Namen SYS32.EXE ins Windows-Systemverzeichnis und registriert sich im Schlüssel des Windows-Startverzeichnis. Danach entpackt er den Hauptteil (die Datei OUTLOOK.EXE) und startet diese zur Ausführung.

Ein wichtiger Unterschied von Mimail.Q gegenüber seinen Vorgängern besteht in der Verwendung von kryptographischen Algorithmen zum Schutz vor Antiviren. Bei jedem Neustart des infizierten Rechners ändert der Wurm den Chiffrierschlüssel so, dass die versandten Kopien des Schädlings jedes Mal anders aussehen. Das erfordert seinerseits vom installierten Anti-Virus eine Funktion zur Entschlüsselung der Dateien.

·         Der Hauptteil des Wurms führt gleich mehrere Funktionen aus. Erstens verschickt er seine Kopien und durchsucht dazu den Inhalt der Festplatte nach E-Mail-Adressen. An diese verschickt er dann verseuchte E-Mails und benutzt dazu einen eingebauten Mechanismus.

·         Zweitens öffnet der Hauptteil Hackern ein Schlupfloch auf den infizierten Rechner. Dazu benutzt er die Ports 6667, 3000, 80, 1433 sowie 1434. Über diese Ports empfängt der Wurm Befehle von seinen "Meistern" und verschickt Daten über die Ausführung von Befehlen an anonyme Mail-Boxen von öffentlichen E-Mail-Systemen.

·         Drittens sammelt Mimail.Q wie seine Vorgänger Angaben über die Zahlungssysteme PayPal und E-Gold, wenn diese auf dem Rechner installiert sind, und sendet die Zugangscodes für diese Zahlungssysteme an dieselben E-Mail-Adressen.

Zudem enthält der Wurm-Code Drohungen an die öffentlichen E-Mail-Systeme, falls diese die von Mimail.Q benutzten Mail-Boxen schließt:

*** GLOBAL WARNING: if any free email company or hosting company will close/filter my email/site accounts, it will be DDoS'ed in next version. WARNING: centrum.cz will be DDoS'ed in next versions, coz they have closed my mimail-email account. Who next? ***

Schutzverfahren gegen Mimail.Q mit Entschlüsselungsfunktion sind der Antiviren-Datenbank von "Kaspersky Anti-Virus" bereits hinzugefügt worden. Detailliertere Informationen über diese Malware finden Sie in der Kaspersky Virus Encyclopedia. (ma)

Kaspersky Labs

Ansprechpartner: Denis Zenkin

Tel. (007-095) 9485650, Fax (007-095) 9484331

E-Mail: denis.zenkin@kaspersky.com

Ansprechpartner: Andreas Lamm

Spretistraße 7, D 85057 Ingolstadt

Tel. (0700) 55010000, Fax (0700) 55010001

E-Mail: Andreas.Lamm@de.kaspersky.com

Web: www.kaspersky.com