Rubrik: Virenwarnung/Aktuelle Meldungen

MessageLabs: Mydoom.A nähert sich der 9-Millionen-Grenze

Turbo Wurm erreicht ungeahnte Ausmaße

(02.03.04) - Die Verbreitung von Mydoom.A ist nicht aufzuhalten. Seit dem Abfangen der ersten Kopie durch MessageLabs hat sich die Anzahl der Kopien auf über 8,7 Millionen erhöht. Am stärksten betroffen sind nach wie vor die USA, die Prozentzahl der versandten Kopien ist aber mittlerweile von 37 Prozent auf 22 Prozent gesunken. Darüber hinaus hat MessageLabs zusätzlich eine kleine Anzahl von Kopien des W32/Mydoom.B abgefangen, der am 28. Januar erstmalig in Erscheinung trat. Damit wird der Wurm nur als "low threat" eingestuft.

Zeitfenster der Anfälligkeit

Die erste Kopie von Mydoom.A fing MessageLabs am 26. Januar gegen 13:00 Uhr (GMT) ab. Zu diesem Zeitpunkt konnte keiner der Antiviren-Dienstleister einen Abfangmechanismus gegen den Mass-Mailer bieten. Erst nach 9,5 Stunden offerierten erste Dienstleister einen sicheren Schutz gegen den Wurm. Während dieses Zeitfensters hatte MessageLabs allein 165.000 Kopien des Schädlings abgefangen. Diese Zahl lässt erahnen, wie viele Unternehmen von Mydoom.A eiskalt erwischt wurden.

Name: W32/Mydoom.A-mm

Bisher abgefangene Kopien: 8,7 Mio.

Uhrzeit und Datum des ersten Zwischenfalls: 26. Januar 2004, 13:03 GMT

Ursprungsland der ersten infizierten E-Mail: Russland

Allgemeines

Mydoom ist ein Mass-Mailer, der sich via E-Mail verbreitet. Zudem nutzt der Wurm die Möglichkeit, sich in alle von Kazaa genutzten Shared Directories zu kopieren. Der Wurm sammelt sämtliche auf den infizierten Rechnern vorhandene E-Mail-Adressen und zielt auf Dateien mit den folgenden Namens-erweiterungen ab: wab, .adb, .tbb, .dbx, .asp, .php, .sht, .htm, .txt. Mydoom versucht außerdem, sich über zufällig oder über Analogien generierte E-Mail Adressen weiter zu verbreiten. Zusätzlich lassen erste Analysen vermuten, dass Mydoom eine Verbindung zum TCP-Port 3127 herstellt, was auf eine integrierte Remote-Access-Komponente schließen lässt.

Charakteristika betroffener E-Mails

Von: zufällig gespoofte E-Mail-Adressen

Subject: Zufällig

Text: Unterschiedlich,

unter anderem:

·         The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

·         The message contains Unicode characters and has been sent as a binary attachment.

·         Mail transaction failed. Partial message is available.

Attachment: Unterschiedlich, mit Anhängen wie .exe, .pif, .cmd, .scr.

Das Attachment wird oft in einem ZIP-Archiv verschickt und als vermeintliche Text-Datei dargestellt. Tatsächlich handelt es sich aber um ein Executable.

Dateigröße: 22.528 bytes . (ma)

MessageLabs

Office UK:

Tel. (0044-1452) 627627, Fax (0044-1452) 627628

Sales:

E-Mail: salesquery@messagelabs.com

General:

E-Mail: info@messagelabs.com

MessageLabs: Deutschland

Kontakt: Henning Ogberg

Tel. (089) 189-43990, Fax (089) 189-4399-9

E-Mail: hogberg@messagelabs.com

Web: www.messagelabs.com