Gelber Alarm für MyDoom.M

Eine neue Mydoom-Variante macht Europa und die USA unsicher. MyDoom.M hat bei den Virenspezialisten einen globalen Yellow Alert ausgelöst, um die Ausbreitung zu verhindern. Der SMTP-basierte Mass-Mailing-Wurm tarnt sich als Benachrichtigung über angeblich unzustellbare oder zurückgesendete E-Mails. Bislang wurde das Auftreten dieses Malicious Code nur aus Europa und den USA gemeldet.
WORM_MYDOOM.M verbreitet sich mittels SMTP und E-Mails. Auf befallenen Systemen sucht der Malicious Code zunächst nach einem Internet-Anschluss und verbindet sich daraufhin über einen Mail-Exchanger. Darüber hinaus werden E-Mail-Adressen potenzieller Angriffsziele aus der Windows Address Book Datei gesammelt und mittels Suchmaschinen wie Google oder Yahoo überprüft. Der Wurm fälscht zudem die Absenderadressen der infizierten Nachrichten.

Der  Wurm verbreitet sich in Form eines E-Mail-Attachments. Dieses hängt einer E-Mail-Nachricht an, die vorgibt, entweder vom persönlichen Internet Service Provider oder vom Support-Team des jeweiligen Unternehmens zu sein. Der E-Mail-Text behauptet, dass der eigene Rechner von Hackern missbraucht würde, um Spam zu verschicken.

Der genaue Wortlaut der Nachricht kann bei der zunehmenden Verbreitung von MyDoom.O variieren, doch ein typisches Beispiel ist:

“Dear user _email address _,

Your account was used to send a large amount of spams during this week. Obviously, your computer had been compromised and now runs a trojan proxy server. Please follow instruction in order to keep your computer safe. Have a nice day, user support team.”

Mit den Betreffzeilen der Wurm-Mails soll der Eindruck erweckt werden, dass es sich bei der E-Mail um Meldungen eines E-Mail-Systems handelt. Nachrichtentitel wie “status”, “delivery reports about your e-mail” oder “returned mail: see transcripts for details” werden verwendet, um den Computernutzer zum Öffnen des Anhangs zu verleiten.

Ähnlich wie der ursprüngliche WORM_MYDOOM.A versendet sich auch WORM_MYDOOM.M als Dateianhang mit einer zip-, bat-, pif-, exe- oder scr-Endung. Als Namen verwendet die aktuelle Malware aber Bestandteile der Zieladresse, um so für den Empfänger wichtiger zu erscheinen. Nach Infektion legt WORM_MYDOOM.M unter dem Namen ‘java.exe’ eine Kopie von sich im Windows-Ordner ab und generiert einen Registry-Eintrag. Damit wird die Malware bei jedem Systemstart erneut ausgeführt.

Der mit WORM_MYDOOM.M infizierte Dateianhang hat eine Größe von 28 KB. Gefährdet sind Computer mit den Betriebssystemen Windows 98, ME, NT, 2000 und XP. Der Wurm ist zudem auch unter den Namen W32/Mydoom.O@MM oder Mydoom.M bekannt. Die führenden Antivirus-Hersteller haben bereits Patches veröffentlicht.

Silicon-Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

8 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

8 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago