Warnung vor neuem Virus. Die Hersteller von Antiviren-Software warnen vor einem gefährlichen E-Mail-Wurm.

Warnung vor neuem Virus

AVERT (Anti Virus Emergency Response Team), das Virenforschungslabor von Network Associates, stuft den heute entdeckten Internet-Wurm W32/Mydoom@MM als besonders gefährlich ein. Der neue Email-Wurm verfügt über eine eigene SMTP-Engine und versendet sich unter falschem Absendernamen an Email-Adressen, die er auf dem infizierten System vorfindet. Er durchsucht hier für Dateien mit folgenden Dateierweiterungen: * wab * adb * tbb * dbx * asp * php * sht * htm * txt Außerdem kopiert sich W32/Mydoom@MM in den Ordner von KaZaA my shared Folder unter dem Namen activation_crack.scr: * c:Program FilesKaZaAMy Shared Folderactivation_crack.scr

Aufgrund der starken Verbreitung wurde die Risikoeinschätzung des Wurms auf High-Outbreak angehoben und umgehend neue Signaturen bereitgestellt.

Symptome und erste Vorsichtsmaßnahmen: Sowohl Betreff-Zeile als auch der Email-Text werden von diesem hochgefährlichen Wurm zufällig gewählt.

Der Email-Text kann beispielsweise eine dieser drei Varianten enthalten: * The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. * The message contains Unicode characters and has been sent as a binary attachment. * Mail transaction failed. Partial message is available

Wird die angehängte Datei ausgeführt, öffnet der Wurm das Textprogramm Notepad und zeigt einen sinnleeren Text an. Der Virus versendet sich in unterschiedlichen Email-Anhängen die als .exe-, . pif-, .cmd-, .scr- oder in einem ZIP-Archiv auftreten können.

Das Attachement (Email-Anhang) erscheint mit dem Icon einer Windows TXT-Datei (Notizblock). Zudem öffnet der Wurm den DTCP-Port 3127, über den der Wurm weitere Befehle erhalten kann. Das AVERT ist derzeit noch mit der Analyse dieser Funktionsweise beschäftigt.

Beseitigung des Wurms: Network Associates bietet zur Beseitigung des Wurm bereits ein neues DAT-File 4319 an, welches in das Verzeichnis des Viren-Scanners kopiert werden muss.

"MyDoom unterscheidet sich von anderen Massmailing-Würmern der Vergangenheit, weil er nicht versucht, Anwender mit Sex-Bildern von Prominenten oder privaten E-Mails zum Öffnen des Attachments zu bewegen", sagt Gernot Hacker, Senior Technical Consultant bei Sophos. "MyDoom kann sich als technisch klingende E-Mail tarnen, wobei er vorgibt, der Text der E-Mail befindet sich in der angehängten Datei. Wenn Anwender auf das Attachment klicken und die Datei starten, legen sie damit potentiell ihre Daten und ihren Computer in die Hände von Hackern."

http://vil.nai.com/vil/content/v_100983.htm http://www.sophos.de/virusinfo/analyses/w32mydooma.html