Virenwelle: MyDoom mutiert - und greift Microsoft an

Von

Seit Mittwoch abend kursiert eine zweite Variante des MyDoom-Wurms, die es in sich hat: Der Virenschreiber "verschärfte" das Virus um eine Funktion, die den Download von Virenschutzsoftware unterbindet. Ziel der sich anbahnenden DDoS-Attacke ist nicht mehr nur SCO, sondern auch Microsoft.

Der Wurm geht um: MyDoom frisst sich mit bisher nicht gekannter Geschwindigkeit durchs Web
DPA

Der Wurm geht um: MyDoom frisst sich mit bisher nicht gekannter Geschwindigkeit durchs Web

Der unbekannte Autor des MyDoom-Virus sorgt dafür, dass bei IT-Sicherheitsunternehmen vorerst keine Langeweile aufkommt. "MyDoom.B", die zweite Variante des MyDoom-Wurmes, der es binnen zweier Tage zum schlimmsten Computervirus aller Zeiten brachte, ist seit Mittwoch abend in Umlauf.

MyDoom.B verschärft die Situation noch einmal: Das Virus enthält nun eine Schadensfunktion, die verhindert, dass Nutzer befallener Rechner ihre Virenschutz-Software auf den neuesten Stand bringen können. Über die lokale hosts-Datei verhindert das Virus die Kontaktaufnahme mit den Webseiten diverser Virenschutz-Unternehmen. Betroffen davon sind unter anderem die Webseiten von Network Associates, F-Secure, Sophos, Symantec, Kaspersky, McAfee und Trend Micro.

Die IT-Sicherheitsunternehmen versuchten, schnellstmöglich darauf zu reagieren. Bereits Mittwoch nacht brachten einige von von ihnen neue "Viren-Patterns" heraus, die auch MyDoom.B erkennen und die Infektion des Rechners verhindern. Removal-Tools für die Entfernung des Virus von bereits befallenen Rechnern sind in Arbeit.

Ein kostenloses Removal-Tool, das beide MyDoom-Varianten vollständig entfernt, hält AntiVir bereit. Das Unternehmen ist auch nicht von der durch MyDoom.B verursachten "Kontakt-Blockade" betroffen: Der Download sollte auch mit infizierten Rechnern möglich sein.

Ungeklärt ist bisher, wie die neue Variante in Umlauf gebracht wurde. Einige IT-Sicherheitsunternehmen vermuten, dass der Virenautor die durch das erste Virus geöffneten "Hintertüren" auf befallenen Rechnern benutzt, um neue Varianten in Umlauf zu bringen. Falls dies so sein sollte, orakelt das IT-Sicherheitsunternehmen Mi2g, könnte die "MyDoom-Episode nur der Auftakt einer weit unvorteilhafteren Reihe von Ereignissen" darstellen.

Auch das ist neu an MyDoom.B

Der Virenautor, den AntiVir in Russland vermutet, hat die Dateinamen seiner Schaddateien verändert. Ein relativ sicheres Indiz für einen Befall mit MyDoom.B ist nun das Vorhandensein einer Datei namens "ctfmon.dll" im Windows Systemvertzeichnis.

So sucht man nach Dateien:

Klicken Sie auf "Start" und dann auf das Blatt/Lupe-Symbol mit der Beschriftung "Suchen". Wählen Sie "Nach Dateien oder Ordnern" aus. Geben Sie "ctfmon.dll" ein. Klicken Sie auf "Jetzt suchen".

Auf die gleiche Weise lässt sich feststellen, ob ein Rechner mit MyDoom.A befallen ist: Suchen Sie nach der Datei "shimgapi.dll".

MyDoom.B landet mit leicht veränderten Betreffzeilen im E-Mail-Fach und enthält längere Textnachrichten.

Vote
Umfrage: Wie schlimm ist die MyDoom-Welle wirklich?

MyDoom ist knapp drei Tage alt und gilt schon als schlimmstes Computervirus aller Zeiten. IT-Sicherheitsunternehmen schätzen, dass weltweit rund 15 Prozent allen Mailverkehrs durch MyDoom verursacht wird. Doch wie schlimm schlägt MyDoom in Deutschland wirklich zu? Wie viele Viren-Müll-Mails haben Sie seit Montag erhalten?

Die bisher bekannten Betreffzeilen, an denen man MyDoom.B erkennt:

  • Error
  • hello
  • hi
  • Mail Delivery System
  • Mail Transaction Failed
  • test
  • Server Report
  • Status

Die bisher bekannten Textnachrichten von MyDoom.B:

  • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
  • sendmail daemon reported:
  • Error #804 occured during SMTP session. Partial message has been received.
  • The message contains Unicode characters and has been sent as a binary attachment.
  • The message contains MIME-encoded graphics and has been sent as a binary attachment.
  • Mail transaction failed. Partial message is available.

Auch über KaZaA besteht die Gefahr einer Infektion durch MyDoom.B. Bei KaZaA tarnt sich das Virus als angebliches Programm.

Bisher bekannte Viren-Dateinamen bei KaZaA:

  • NessusScan_pro.scr
  • attackXP-1.26.scr
  • winamp5.scr
  • MS04-01_hotfix.scr
  • zapSetup_40_148.scr
  • BlackIce_Firewall_Enterpriseactivation_crack.scr
  • xsharez_scanner.scr
  • icq2004-final.scr
  • MS04-01_hotfix.scr

Der einfachste und sicherste Schutz vor dem Befall mit Viren wie MyDoom stellt die Einhaltung elementarer Sicherheitsregeln dar. Dazu gehört es, unverlangt zugesandte Datei-Anhänge grundsätzlich nicht zu öffnen. Auch Dateinanhänge, die von anscheinend vertrauenswürdigen Absendern kommen, sollte man auf Viren prüfen. Ausführliche Tipps zu diesem Thema hält das Bundesamt für Sicherheit in der Informationstechnik BSI bereit.

Gefährdet durch die bisher beispiellose Virenwelle sind allein die Nutzer von Windows-Systemen. Unter der durch das Virus verursachten Mail-Lawine leiden allerdings alle: Experten schätzen, dass derzeit rund 15 Prozent des weltweiten E-Mail-Verkehrs durch das Virus verursacht wird. Insbesondere in Unternehmen ist dieser Prozentsatz aber weit höher.

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Tech
RSS
alles zum Thema Computersicherheit
RSS

© SPIEGEL ONLINE 2004
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback

Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.