|
|
Rubrik: Virenwarnung/Aktuelle Meldungen F-Secure: Mydoom-Autoren starteten neue Attacke gegen Microsoft-Web-Seite Wurm "Doomjuice" wandelt auf den Spuren von "Mydoom.A" (14.02.04) - F-Secure warnt vor dem neuen Wurm "Doomjuice". Der auch als "Mydoom.C" bekannte Schädling befällt Windows Rechner, die bereits mit Mydoom.A infiziert sind, und verbreitet sich über diese PCs vollkommen automatisch ohne Zutun des Anwenders. Der Wurm nutzt hierfür die von Mydoom.A installierte Backdoor und verschickt sich nicht über E-Mails. Doomjuice ist so pro-grammiert, dass er seit dem 8. Februar 2004 - wahrscheinlich das Verbreitungsdatum des Wurms - eine weltweite Distributed Denial of Service-Attacke (DDoS-Attacke) gegen microsoft.com startet. Durch wiederholtes Laden der Startseite soll die Webseite in die Knie gezwungen werden. Am Montag, 9. Februar 2004, war die Web-Seite bereits zeitweise ausgefallen.
Anzeige
Doomjuice verbreitet sich lediglich über Rechner, auf
denen Mydoom.A eine Backdoor installiert hat. Um die offene Hintertür zu
finden, scannt Doomjuice zufällig IP-Adressen und versucht, über den TCP Port
3127 auf die von Mydoom.A befallenen Rechner zu gelangen. Wenn der Port offen
ist, schickt sich Doomjuice an diese PCs und infiziert sie ebenfalls. Doomjuice verwischt Fährte zu Virenautoren Doomjuice speichert den Source Code von Mydoom.A in Archiven in verschiedenen Ordnern auf dem infizierten Computer. "Das beweist, dass Doomjuice und Mydoom.A von den selben Personen geschrieben wurde", erläuterte Mikko Hyppönen, Director of Anti-Virus Research bei F-Secure. "Bislang war der Quellcode von Mydoom.A im Hacker-Untergrund nicht verbreitet." Das Motiv, den Source Code zu verteilen, liegt auf der Hand. "Die Virenautoren wissen, dass polizeilich nach ihnen gesucht wird. Und der beste Beweis gegen sie wäre der Besitz des originalen Viren-Quellcodes. Vor Doomjuice besaßen nur die Programmierer von Mydoom.A den echten Source Code, jetzt haben ihn wahrscheinlich mehrer Zehntausend Personen unwissentlich auf ihrer Festplatte", sagte Hyppönen weiter. Ein Update zum Schutz vor Doomjuice wurde der F-Secure Virendefinitions-Datenbank bereits hinzugefügt. Eine detaillierte technische Beschreibung des Wurms ist zu finden unter http://www.f-secure.com/v-descs/doomjuice.shtml. Weitere Informationen über die Verbreitung der Mydoom-Wurmfamilie können auch dem Web-Logbuch des F-Secure Anti-Virus Research Lab entnommen werden: http://www.f-secure.com/weblog/. (ma) F-Secure Kontakt: Sandra Proske Tel.
(089) 787467-22, Fax (089) 787467-99 E-Mail:
sandra.proske@f-secure.com Kontakt:
Travis Witteveen Tel. (089) 787467-11 E-Mail: travis.witteveen@f-secure.com Web: www.f-secure.de
|
