Neue Viren-Epidemie ausgebrochen

28. Jänner 2004, 18:53
96 Postings

E-Mail-Wurm "Mydoom" verbreitet sich im Internet - Schädling verstopft Netzwerke und späht Tastatureingaben aus

Ein neuer E-Mail-Wurm verbreitet sich nach Angaben von Anti-Viren-Spezialisten derzeit rasant im Internet. Der von den Herstellern von Anti-Viren-Software als "Mydoom" oder "Novarg" bezeichnete Wurm verstopft die Netzwerke und öffnet Angreifern möglicherweise eine Hintertür auf den befallenen Rechnern. Die Anti-Viren-Firma Symantec erklärte, der Wurm scheine auch die Tastatureingaben zu protokollieren. So könnten beispielsweise Passwörter erspäht und weitergegeben werden.

Vorsicht bei Anhängen

Wird der Anhang zu einem harmlos aussehenden E-Mail geöffnet, dann startet ein Programm, das in 30 Sekunden rund 100 E-Mails an Adressen im E-Mail-Verzeichnis versendet. Betroffen sind die Windows-Betriebssysteme von Microsoft.

Verbreitung auch via KaZaA

Wie nun bekannt wurde, nutzt der Schädling noch einen weiteren Verbreitungsweg. Der Wurm schleust sich in das KaZaA-Netzwerk ein und legt sich dort unter den Dateinamen activation_crack, icq2004-final, nuke2004, office_crack, rootkitXP, strip-girl-2.0bdcom_patches sowie winamp ab. Diese Dateinamen sollen KaZaA-Nutzer dazu bringen, die betreffenden Dateien auf ihren Rechnern zu laden und auszuführen.

Rasante Ausbreitung

Der Angriff begann am Montagnachmittag, wie Vincent Gullotto, Vizepräsident von Networks Associates, sagte. Er habe sich dann schnell auf den ganzen Planeten ausgeweitet. Laut Gullotto handelt es sich um einen riesigen Ausbruch einer Viren-Epidemie. Innerhalb einer Stunde erhielt Network Associates rund 19.500 infizierte E-Mails von 3.400 verschiedenen Internet-Adressen, so Gullotto. Eine große amerikanische Telekom-Firma hat bereits ihren E-Mail Gateway geschlossen, um den Virus zu stoppen. Und die Anti-Viren-Firma Symantec erklärte, der Wurm scheine auch die Tastatureingaben zu protokollieren. So könnten Passwörter erspäht werden.

Unicode-Zeichen

Im Gegensatz zu früheren Viren werbe das Schadprogramm nicht mit Bildern von Stars oder Nacktfotos, sondern gebe sich ganz technisch, sagt Steve Trilling von Symantec. "Diese Nachricht enthält Unicode-Zeichen und wurde als binärer Anhang verschickt", heißt es in der E-Mail.

Rache an SCO?

Laut neuesten Angaben soll der Virus die Windows-PCs nicht nur für Angreifer öffnen und einen starken E-Mail-Verkehr starten, sondern primär gegen die SCO gerichtet sein. Anti-Viren-Spezialisten haben herausgefunden, dass der Schädling ab dem 1. Februar eine Denial of Service Attacke (DdoS) gegen ein bestimmtes Ziel starten will – gegen die Server der SCO Group, die sich in der Auseinandersetzung um gestohlenen Code in Linux den Unwillen der Open Source-Community zugezogen hatte. Ab dem 12. Februar verbreitet sich der Schädling dann nicht mehr weiter nicht weiter.

Hohes Risiko

Symantec Security Response hat den am Montag entdeckten Computer-Wurm W32.Novarg.A@mm aufgrund der hohen Anzahl an Einsendungen zuerst in Kategorie 3 und dann direkt in die Kategorie 4 (von 5 Gefahrenstufen) hochgestuft. Betroffen sind die Betriebssysteme Windows 2000, 95, 98, NT, XP und Windows Server 2003. Nicht betroffen sind DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x.

Details zum Schädling

  • Der Wurm ist ebenfalls bekannt als Novarg, Shimgapi, W32/Mydoom@MM, Win32/Shimg
  • E-Mail-Wurm, der sich in Dateien mit den Endungen .bat, .cmd, .exe, .pif, .scr, or, .zip versendet
  • Der Wurm arbeitet mit Betreffzeilen wie "hello", "hi", "Mail Transaction failed", "Server Report", "Status", "Server Report", "Mail Delivery Sytsem" oder "Test"
  • Einmal geöffnet, kopiert sich der Wurm in das System als taskmon.exe. oder shimgapi.dII im Systemverzeichnis von Windows. Dieses Backdoor-Programm öffnet die TCP-Ports 3127 bis 3198 und ermöglicht Hackern, den infizierten Rechner fernzusteuern bzw. den Rechner als Proxy-Server arbeiten zu lassen und somit fremde Netzwerkressourcen zu nutzen.
  • Der Wurm versendet sich an alle E-Mail-Adressen, die er in Dateien mit den Endungen .htm, .sht, .php, .asp, . bdx, .tbb, .abd, .pl, .wab und .txt findet.

    Warten auf den Schaden

    Bis Dienstag früh war noch nicht klar, ob "Mydoom" großen Schaden anrichten würde. "In den nächsten 48 Stunden werden wir es wissen", sagte Trilling. "Bisher verbreitet er sich sehr schnell." "Mydoom" ist schon der zweite Internetwurm, der sich in diesem Jahr verbreitet. Der erste Wurm "Bagle" infizierte zu Beginn des Monats zahlreiche Computer, starb nach wenigen Tagen aus.

    Keine neue Sicherheitslücke

    Ein Microsoft-Sprecher erklärte, der Wurm scheine keine Sicherheitslücke auszunutzen, sondern werde allein von den Nutzern weiterverbreitet. Für das E-Mail-Programm Outlook von Microsoft gibt es einen Patch, der die Nutzer generell vor dem Öffnen unbekannter Anhänge warnt.(APA/AP/red)

    • Artikelbild
      montage: webstandard
    Share if you care.