Rubrik: Virenwarnung/Aktuelle Meldungen

Panda Software: Alarmstufe Orange: Mydoom.N - Top-Suchmaschinen sind Ziel von "Mydoom.N"

Performance der E-Mail Services soll sinken

(28.07.04) - Die neue Variante "N" des bekannten Wurms "Mydoom" nimmt die großen Such-maschinen, wie z.B. Google, Altavista, Lycos und Yahoo! auf's Korn. Es kann aufgrund von massiven Anfragen an die Suchmaschine zu Performanceproblemen und evtl. Fehlermeldungen aufgrund einer Nicht-Erreichbarkeit kommen.

Nutzer bekommen phasenweise Fehlermeldungen, basierend auf einer Infektion, sobald Anfragen an die Suchmaschinen gestellt werden.

Mydoom.N prüft und versendet sich an alle E-Mail Adressen, die er u.a. auf den infizierten Servern und PC-Systemen findet. Diese Suchmaschinen, überflutet von Anfragen, sind überlastet und arbeiten nicht mehr zuverlässig. Basierend auf dem erhöhten E-Mail-Verkehr soll der Internet Traffic dramatisch ansteigen und weitere Services in Mitleidenschaft ziehen.

Mydoom.N verbreitet sich sehr schnell rund um den Globus via E-Mail, mit Hilfe seiner eigenen SMTP Engine, so dass davon auszugehen ist, dass die Zahl der infizierten Systeme stark ansteigen wird. Durch den stark erhöhten E-Mail-Verkehr muss man annehmen, dass beispielsweise E-Mail-Services eingeschränkt werden oder gar nicht mehr funktionieren.

Mydoom.N erzeugt die folgenden Einträge in der Windows Registry:

HKLM/Software/Microsoft/Windows/CurrentVersion/Run

 JavaVM = "%WinDir %/java.exe"

HKLM/Software/Microsoft/Windows/CurrentVersion/Run

 Services = "%WinDir %/Services.exe"

Zusätzlich erzeugt er folgende Dateien in der Registrierung:

%WinDir%/java.exe und %Windir%/Services.exe

Mydoom.N spooft die E-Mail Adresse des Absenders und kann die Betreffzeile wie folgt variieren:

·         "Automatic Email Delivery Software"

·         "Bounced mail"

·         "Mail Administrator"

·         "Mail Delivery Subsystem"

·         "MAILER-DAEMON"

·         "Post Office"

·         "Postmaster"

·         "Returned mail"

·         "The Post Office"

Entweder ist der Textkörper der Nachricht komplett leer oder es wird eine der folgenden Texte generiert:

* Your message was undeliverable due to the following reason(s):

Your message could not be delivered because the destination computer was unreachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura- tion parameters.

Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.

Your message was not delivered within 5days:

Host <IP> is not responding.

The following recipients did not receive this message:

<e-mail address>

Please reply to <e-mail addressl>

if you feel this message to be in error.

* Message could not be delivered

* Dear user of %recipient's email address%

Your email account was used to send a large amount of span during the last week.

Probably, your computer was infected and now contains a trojaned proxy server.

We recommend that you follow the instructions in order to keep your compute safe.

Virtually yours,

* %recipient's email address% user support team.

Die Dateierweiterung der angehangenen Datei wird, ebenso wie der Dateiname zufällig generiert. Bei dem Dateinamen sind folgende Bezeichnungen möglich: "readme" instruction", "attachment",  "transcript", "mail", "setter". "file", "text" y "document".

Mydoom.N installiert eine Datei und öffnet zusätzlich einen Port auf der infizierten Maschine, den er abhört um so, mit Hilfe dieser Hintertür, jederzeit erreichbar für den Autor zu sein. Über diese Schnittstelle bietet Mydoom.N dem Autor sowie anderen potentiell gefährlichen Eindringlingen die Möglichkeit, Zugriff auf das befalllenen System zu erlangen um dort diverse Aktionen, wie z.B. das Stehlen, Löschen, Versenden oder Verändern vertraulicher Informationen, auszuführen.

Um die Folgen zu minimieren stellt Panda Software allen Usern das kostenfreie Desinfizierungs-Tool "PQRemove" zur Verfügung. Das Tool kann kostenfrei herunter geladen werden.

Luis Corrons, Chef der Panda Labore:"Der neue Virus folgt den Spuren des Ursprungswurms "Mydoom", der sich am 26.Januar verbreitete und über hundert tausend PC in wenigen Stunden infizierte. Aufgrund seiner Fähigkeit der Verbreitung und Vervielfältigung via E-Mail ist davon auszugehen, dass die Zahl der infizierten Systeme innerhalb der nächsten Stunden ansteigen wird." (ma)