Rubrik: Virenwarnung/Aktuelle Meldungen

MessageLabs: Neue aggressive "Mydoom"-Variante verhindert Download von Signaturen

Mydoom.B überschreibt lokale Host-Files zahlreicher Antiviren-Hersteller

(02.02.04) - MessageLabs hat einige Exemplare einer neuen Variante der "Mydoom"-Familie abge-fangen. "W32/Mydoom.B-mm" verbreitet sich zwar langsamer als sein Vorgänger, seine Payload übertrifft jedoch den Turbo-Wurm "Mydoom.A" bei Weitem. Der Mass-Mailer überschreibt lokale Host-Files und wird dadurch künftig eine zentrale Rolle so genanten Phishing-Scams spielen: Mydoom.B ist in der Lage, gespooften Web-Seiten eine authentischere Optik zu verleihen und so maßgeblich zum Erfolg solcher Attacken beizutragen. Ziel von Phishing ist das Erschleichen von vertraulichen Informationen wie beispielsweise Kontozugangsdaten.

Name: W32/Mydoom.b-mm Uhrzeit und Datum des ersten Zwischenfalls: 28. Januar 2004, 17:00 CET

Allgemeines

Mydoom.B ist ein Mass-Mailer, der sich über eine integrierte SMTP-Engines sowie Peer-to-Peer-Netze verbreitet. Seine Payload überschreibt lokale Host-Files mit eigenen Informationen. Dies führt dazu, dass der User die Websites, die über diese Host-Files angesteuert werden, nicht aufrufen kann. Betroffen sind mehr als 25 Domains, darunter auch McAffee, Microsoft, F-Secure, Sophos, Symantec, Network Associates und Trend Micro. Dieses Überschreiben verhindert den erfolgreichen Download von Signaturen und Microsoft-Patches.

Charakteristika betroffener E-Mails

Von: zufällig gespoofte E-Mail Adressen

Subject: Zufällig

Text: Unterschiedlich, unter anderem:

·         The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

·         The message contains Unicode characters and has been sent as a binary attachment.

·         Mail transaction failed. Partial message is available.

Attachment: Unterschiedlich, mit Anhängen wie .zip, .exe, .pif, .cmd oder .scr. Das Attachment wird oft in einem ZIP-Archiv verschickt und als vermeintliche Text-Datei dargestellt. Tatsächlich handelt es sich aber um ein Executable.

Dateigröße: 29.184 bytes (exe)

Mydoom.B hat zugeschlagen, als sein Vorgänger Mydoom.A die Welt noch in Atem hielt. Schon nach kurzer Zeit hat sich Mydoom.A als Turbo-Virus mit bis dato ungekannter Verbreitungs-geschwindigkeit entpuppt: Am Abend des 28. Januar, einen Tag nach dem ersten Auftreten des Schädlings, hatte MessageLabs bereits 3.064.539 Kopien von Mydoom.A abgefangen. Der Wurm ist nach wie vor in 209 Ländern aktiv, wobei die USA (37%), Großbritannien (24%) und Australien (5%) am stärksten betroffen sind. Derzeit ist jede 20. E-Mail infiziert.

"Kein Virus hat je so deutlich eine Lanze für Managed Anti-Virus Services gebrochen, wie Mydoom", sagte Mark Sunner, Chief Technology Officer bei MessageLabs. "Wer sich für einen Managed Service entscheidet, der genießt proaktiven Schutz und muss nicht auf die rettende Signatur warten. Mydoom.B vereitelt sogar den Download von Patches und Viren-Signaturen, so dass selbst die theoretische Verfügbarkeit effektiver Schutzmechanismen keine Abhilfe schaffen kann."

MessageLabs hat alle Stränge dieses Virus mit Hilfe seiner patentierten heuristischen Technologie Skeptic proaktiv erkannt und abgefangen. Weitere Informationen finden Sie unter http://www.messagelabs.com/intelligence. (ma)

MessageLabs

Office UK:

Tel. (0044-1452) 627627, Fax (0044-1452) 627628

Sales:

E-Mail: salesquery@messagelabs.com

General:

E-Mail: info@messagelabs.com

Web: www.messagelabs.com