Rubrik: Virenwarnung/Aktuelle Meldungen

F-Secure: "Mydoom.B" attackiert nun auch Microsoft-Website

Zugriff auf die Seiten von Antiviren-Herstellern wird verhindert

(02.02.04) - F-Secure hat eine neue Variante des E-Mail-Wurms registriert. Wie sein Vorgänger startete auch "Mydoom.B" am 1. Februar eine Denial-of-Service- (DoS-)Attacke gegen die Website SCO.com und verbreitet sich über E-Mails und die Tauschbörse Kazaa. Neu ist, dass nun auch ein DoS-Angriff gegen die Web-Seite Microsoft.com ausgeführt werden soll. Besonders heimtückisch ist außerdem, dass Mydoom.B. den Zugriff von infizierten Rechnern auf die Web-Seiten von Antiviren-Herstellern - darunter auch f-secure.com - verhindert. Ein Update zum Schutz vor Mydoom.B wurde der F-Secure-Virendatenbank am 28. Januar um 15.44 GMT hinzugefügt. Weitere Informationen über den neuen Wurm sind zu finden unter http://www.f-secure.com/v-descs/mydoom_b.shtml.

Rasante Verbreitung von Mydoom

Die Verbreitung des am 26. Januar 2004 erstmals entdeckten E-Mail-Wurms Mydoom hat schon jetzt den Wurm Sobig.F übertroffen. Bislang hielt Sobig.F, dessen rapide Ausbreitung im August 2003 begann, den zweifelhaften Rekord des am schnellsten verbreiteten Wurms in der gesamten Virengeschichte. Nach Einschätzung von F-Secure ist bereits etwa ein Drittel aller in Europa verschickten E-Mails mit Mydoom infiziert. E-Mail-Würmer gehören zurzeit zu den Virentypen, die weltweit am häufigsten auftreten. In ihrer Verbreitungsgeschwindigkeit werden sie nur noch durch sich automatisch verschickende Netzwerkwürmer übertroffen, die jedoch nicht besonders häufig vorkommen.

Die rasche Ausbreitung von Mydoom ist auf drei Hauptursachen zurückzuführen:

·         Social Engineering: Der Wurm tarnt die infizierte E-Mail als Fehlermeldung des Systems und fordert so die Benutzer zum Öffnen des Anhangs auf. Die infizierten Anhänge verstecken sich zum Teil in ZIP-Archiven, welche die Benutzer in der Regel mit weniger Argwohn öffnen als andere Dateien.

·         Zeitzonen: Anders als die meisten anderen aktuellen E-Mail-Würmer begann die Verbreitung von Mydoom während der Hauptgeschäftszeit in den USA. So konnte der Wurm sofort einige große Firmennetzwerke infizieren.

·         Aggressive Methode zur Sammlung von E-Mail-Adressen: Der Wurm versendet sich nicht nur an die E-Mail-Adressen, die er auf dem infizierten Rechner gefunden hat. Er ist zudem in der Lage, vollkommen neue Adressen zu kreieren, indem er häufig vorkommende Benutzernamen errät und diese mit den Domain-Namen kombiniert, die Bestandteil der gefundenen E-Mail-Adressen sind. Zudem kann er bekannte Tricks zum Schutz vor Spam umgehen.

Etwa ein Drittel des weltweiten E-Mail-Verkehrs gehen auf Mydoom zurück

Aktuellen Schätzungen zufolge wird zurzeit zwischen 20 Prozent und 30 Prozent des gesamten weltweiten E-Mail-Verkehrs durch Mydoom verursacht. F-Secure appelliert insbesondere an alle Internet-Dienstanbieter, auf eine Weiterleitung infizierter E-Mails an ihre Kunden zu verzichten und die E-Mails stattdessen zu vernichten. F-Secure stellt Internet-Dienstanbietern eine Anleitung für eine zuverlässige Erkennung von infizierten E-Mails in E-Mail-Warteschlangen - bei minimaler Inanspruchnahme von Systemleistung - zur Verfügung. Die Lösungen stehen kostenlos bereit; sie setzen nicht die Verwendung von F-Secure-Produkten voraus. Weitere Informationen sind unter http://www.f-secure.com/v-descs/novarg.shtml zu finden.

Exakt geplanter Angriff

Mydoom startet von allen weltweit infizierten Rechnern einen DoS-Angriff auf die Website SCO.com. Dies brachte dem Wurm bereits den Spitznamen "ScoBig" ein. Der Angriff war für Sonntag, den 1. Februar, um 16:09:18 Uhr (GMT) geplant. Ob hinter dieser genauen Zeitangabe ein tieferer Sinn steckt, ist bislang nicht bekannt. Es sollte vielleicht nicht unerwähnt bleiben, dass die Website von SCO in jüngster Zeit bereits häufiger Opfer von DoS-Angriffen war. Keiner dieser Attacken erfolgte allerdings auf Virenbasis. Es kann aber auch sein, dass der geplante Angriff auf die SCO-Website nur von der Backdoor-Komponente ablenken soll, die ebenfalls Teil des Wurms ist. Diese dient höchstwahrscheinlich dazu, den Versand von Spam-E-Mails zu erleichtern.

F-Secure gab am 26. Januar 2004 um 23:05 Uhr (GMT) die erste Warnung zum Wurm Mydoom aus und stufte ihn in die F-Secure Radar-Alarmstufe 2 ein. Bereits drei Stunden später wurde der Radar-Alarm auf 1 heraufgesetzt, was der höchsten Stufe entspricht. Um 23:09 Uhr (GMT), 1 Stunde und 50 Minuten nach Eingang des ersten Wurmexemplars, veröffentlichte F-Secure die Signatur zur Erkennung des Virus.

Eine detaillierte technische Beschreibung, Anleitungen zum Entfernen sowie Screenshots des Wurms Mydoom stehen in der Virendefinitionsdatenbank von F-Secure unter http://www.f-secure.com/v-descs/novarg.shtml zur Verfügung.

F-Secure hat zudem ein kostenloses Programm veröffentlicht, mit dem Mydoom von infizierten Systemen entfernt werden kann. Es kann unter der folgenden Adresse heruntergeladen werden: http://www.f-secure.com/v-descs/novarg.shtml. (ma)

F-Secure

Kontakt: Sandra Proske

Tel. (089) 787467-22, Fax (089) 787467-99

E-Mail: sandra.proske@f-secure.com

Kontakt: Travis Witteveen

Tel. (089) 78746711

E-Mail: travis.witteveen@f-secure.com

Web: www.f-secure.com