Rubrik: Virenwarnung/Aktuelle Meldungen

Panda Software: Roter Alarm - "W32/Mydoom.A.worm"

Neuer Wurm "MyDoom.A" infiziert zahlreiche Firmennetzwerke in
wenigen Stunden

(28.01.04) - Panda Software weist auf ein extrem gesteigertes Infektionsaufkommen aufgrund des neuen Wurmes "W32/Mydoom.A" hin und hat die "Alarmstufe ROT" für diese Bedrohung ausgegeben. Tausende von Computersystemen weltweit wurden bereits von dem neuen Wurm infiziert. Die Geschwindigkeit mit der sich der Wurm verbreitet, sowie der Schaden den er anrichtet machen den MyDoom.A-Wurm zu einer ähnlichen Bedrohung wie Bugbear und Blaster, die letzten Sommer das Internet angriffen und weltweit PC-Systeme und Netzwerke in hohem Maße infizierten.

W32/Mydoom.A versendet sich selbständig an alle Adressen, die er auf dem infizierten System vorfindet. Es wird davon ausgegangen, dass sich dieser Wurm, sowie leicht veränderte Versionen, im Laufe der nächsten Zeit weiter verbreiten werden.

Der W32/Mydoom.A-Wurm verbreitet sich im Anhang einer E-Mail und hat variable Betreffzeilen. Ebenso wie andere Viren, welche "Social Engineering"-Techniken nutzen, versucht auch dieser Wurm dem ahnungslosen PC-Nutzer zu suggerieren, dass er den Anhang unbedingt öffnen muss. Der Virus infiziert nicht nur den befallen Computer sondern sendet sich via E-Mail an alle, auf dem System vorhandenen, E-Mail Adressen.

Zusätzlich öffnet der Wurm den TCP Port 3127 und erlaubt so Unbefugten den direkten Zugriff auf den befallenen Computer. Somit erhalten "Hacker" direkten Zugriff auf das entsprechende System und diese können beispielsweise persönliche Daten stehlen, verändern oder löschen.

Des weiteren bereitet der Wurm eine Denial of Service-Attacke auf die Web-Seite sco.com am 1. Februar 2004 vor.

W32/Mydoom.A sucht nach E-Mail-Adressen in Dokumenten mit den folgenden Endungen und versendet sich automatisch mit Hilfe seiner eigenen SMTP Engine: .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt.

Der Inhalt der Nachricht variiert und kann folgendermaßen lauten:

Betreffzeile:

·         test

·         hi

·         hello

·         Mail Delivery System

·         Mail Transaction Failed

·         Server Report

·         Status

·         Error

Body:

·         Mail Transaction Failed.  Partial message is available.

·         The message contains Unicode characters and has been sent as a binary attachment.

·         The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment

Name der angehangenen Datei:

·         document

·         readme

·         doc

·         text

·         file

·         data

·         test

·         message

·         body

Datei Erweiterung:

·         .pif

·         .scr

·         .exe

·         .cmd

·         .bat

·         .zip

Nachdem der Virus den Computer infiziert hat, sucht er nach dem peer2peer FileSharing Netzwerk Tool KaZaa.  Sollte KaZaa auf dem befallen System installiert sein, kopiert sich der Wurm in den Ordner, in welchem sich die zum tausch angebotenen Dateien befinden.

Der Dateiname kann u.a. folgendermaßen lauten:

·         winamp5

·         icq2004-final

·         activation_crack

·         strip-girl-2.0bdcom_patches

·         rootkitXP

·         office_crack

·         nuke2004

Die Dateien haben eine der folgenden Dateierweiterungen: PIF, .SCR oder .BAT.

Panda Software bietet Updates sowie Tools zur Erkennung und Desinfizierung des W32/Mydoom.A-Wurmes. Sollten Panda Software-Kunden das automatische Update deaktiviert haben, so können Sie sich auf der Web Seite http://www.pandasoftware.com/ eine aktuelle Virensignaturdatei herunter laden.

Aufgrund der Möglichkeit einer Infizierung empfiehlt Panda Software allen Nutzern eine sofortige Aktualisierung der Antivirenlösung sowie eine vollständige Überprüfung des kompletten Systems. Gesteigerte Vorsicht im Umgang mit E-Mails sowie die Installation einer Firewall sind weitere Schutzmechanismen, die Panda Software allen Anwendern nahe legt.

Zusätzlich zur installierten Antivirenlösung können Anwender auch den kostenlosen Panda Software-Online-Virenscanner "Panda ActiveScan" zur Überprüfung und / oder Desinfektion ihres PC-Systems nutzen. Er steht auf der Web Seite www.panda-software.de ebenso wie das Desinfizierungs-Tool "PQRemove" permanent allen Besuchern der Web Seite aktualisiert zur Verfügung. (ma)

Panda Software

Tel. (02065) 987-310, Fax (02065) 987-669

E-Mail: m.mertes@pandasoftware.de

Web: www.pandasoftware.de