Welle von Mytob-Würmern entdeckt

27. April 2005, 13:37
3 Postings

Malware verwandelt PCs zu Spam-Maschinen

Der spanische Security-Spezialist Panda Software warnt vor neuen Varianten des Mytob-Wurms. Alle Migrationen (S, U und W) haben Backdoor-Trojaner-Charakteristiken und öffnen eine Hintertür im Computer über die Server "19.xxor.biz und "irc.blackcarder.net". Auf diese Weise ermöglichen sie ihrem Programmierer die Kontrolle über jeden infizierten Computer zu übernehmen.

Gefährlichste Eigenschaft

Laut Panda ist die gefährlichste Eigenschaft des Wurms seine Fähigkeit die Host-Dateien zu manipulieren. So kann er den Zugriff auf Webseiten von Antivirenherstellern blockieren. Auf diese Weise ist ein infizierter Rechner nicht mehr in der Lage Aktualisierungen herunter zu laden. Mytob verbreitet sich via E-Mail mit einem Dateianhang (.bat, .exe, .pif, .scr oder .zip). Das Attachement mit dem Wurm kann den Namen Data, Doc, Document, File, Readme, Text oder Body haben und sendet sich an alle Adressen, die der Wurm im System findet.

"Mutex"

Um zu verhindern, dass mehrere Kopien des Wurms zur selben Zeit auf dem System laufen, erstellt er verschiedene "Mutex" (Mutual Exclusion). Das Verfahren verhindert, dass nebenläufige Prozesse gleichzeitig auf Daten zugreifen und so unter Umständen inkonsistente Zustände herbeiführen. Die Version S erstellt die Mutex "ggmutexk2", die U-Variante erzeugt "ggmutexk1". Variante U nutzt die Mutex H-E-L-L-B-O-T-2-BY-DIABLO und die W-Variante von Mytob legt die Mutex H-E-L-L-B-O-T an.

Weil alle Migrationen die Kontrolle über IT-Systeme erlauben ist es nahe liegend, dass die Autoren durch eine weite Streuung versuchen ein Netzwerk zu infizieren, in dem alle Rechner zur selben Zeit kontrolliert werden können. Es würde ihnen laut Panda gestatten, weitere Malware wie Keylogger oder Spyware zu installieren. Weiters können die infizierten Rechner zum Versenden von Spam missbraucht werden.(pte)

  • Bild nicht mehr verfügbar
Share if you care.