MyDoom Computer-Konzern setzt Kopfgeld auf Virenautor aus

Verstopfte Mailboxen, lahmgelegte Rechner: Der Internet-Wurm MyDoom, schnellstes Virus aller Zeiten, jagt nahezu ungehindert durchs Netz und plagt Millionen PC-Nutzer. SPIEGEL ONLINE erklärt, wie es zu erkennen ist und was es im Rechner anrichtet.

Einen ersten Rekord hat MyDoom schon knapp zwei Tage nach Beginn seiner Verbreitung gebrochen: Der Wurm, sagt das IT-Sicherheitsunternehmen MessageLabs, sei das bisher schnellste PC-Virus, das je durchs Internet gefegt ist. Millionen von PC-Nutzern können das nur bestätigen: Was derzeit so ins Postfach flutet, ist fast ohne Beispiel. Neben der Virenmail selbst flitzen Warnhinweise und Postmaster-Nachrichten ("Empfang abgelehnt wegen Virus u.ä.) durch die Leitungen, bis der Mail-Server in die Knie geht.

Schon als Erreger öffentlichen Ärgernisses ist MyDoom also außerordentlich "erfolgreich", doch offenbar gelingt ihm nicht nur die Selbstverbreitung, sondern auch, seine schädliche Ladung ("Payload") los zu werden: MyDoom hinterlässt ein Trojaner-Programm auf befallenen Rechnern, das offenbar bereits dazu benutzt wird, eine Distributed Denial-of-Service-Attacke (DDoS) zu starten.

Ziel dieser Attacke, bei der die infizierten Rechner massenhaft auf eine Internetadresse zugreifen, ist die die SCO Group. Die machte in den letzten Monaten Schlagzeilen mit dem Versuch, vor Gericht aus einer angeblichen Patentverletzung Lizenzgebühren aus Linux-Distributoren herauszuschlagen. Am Mittwoch lobte SCO ein Kopfgeld von bis zu 250.000 Dollar für sachdienliche Hinweise aus, die zur Ergreifung des Virenautors führen.

Der, vermuten Virenexperten, dürfte im amerikanischen Uni-Umfeld zu suchen sein. Als Indiz dafür wird gewertet, dass MyDoom sich nicht an E-Mail-Adressen verbreitet, die mit dem US-Universitäten vorbehaltenen Kürzel ".edu" enden.

MyDoom verbreitet sich nicht nur per Mail, sondern auch über die P2P-Börse KaZaA - und das mit bisher beispiellosen Erfolg. MyDoom ist nach Auskunft von Virenschutz-Unternehmen inzwischen in 168 Ländern verbreitet, was man auch anders sagen könnte: Wo es eine Internet-Infrastruktur gibt, ist MyDoom inzwischen auch angekommen. Am stärksten betroffen sind jedoch nach wie vor die englischsprachigen Länder.

So erkennt man MyDoom

MyDoom erreicht den Rechner in der Regel per Mail, die Nachrichten tragen wechselnde Betreffzeilen. Dazu gehören folgende Header:

  • Error
  • Status
  • Server Report
  • Mail Transaction Failed
  • Mail Delivery System
  • hello
  • hi

Der Text von MyDoom verweist auf eine angeblich nicht erfolgreiche Übermittlung der eigentlichen Nachricht und verweist so auf den Dateianhang, der dann angeblich die eigentliche Nachricht enthalten soll:

  • "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment."
  • "The message contains Unicode characters and has been sent as a binary attachment."
  • "Mail transaction failed. Partial message is available."

Dieser Dateianhang enthält das eigentliche Virus, dass erst durch ein Anklicken durch den Mailempfänger aktiviert wird. Der Anhang enthält eine Datei mit zahlreichen, wechselnden Namen und Dateiendungen (doc.bat, document.zip, message.zip, readme.zip, text.pif, hello.cmd, body.scr, test.htm.pif, data.txt.exe, file.scr).

Vor dem Öffnen dieser File-Attachments wird dringend gewarnt. IT-Sicherheitsunternehmen raten dazu, vorhandene Virenschutz-Programme auf den neuesten Stand zu bringen (siehe Linkverzeichnis). Wer über kein Virenschutzprogramm verfügt, sollte sich schnellstens eines zulegen. Für Privatanwender kostenlos ist das Programm AntiVir . Zahlreiche Unternehmen bieten mittlerweile zudem Programme an, mit denen sich befallene Rechner "säubern" lassen .

Die Meldung am Rande: Ski und Rodel gut

Wie weit die Wirkung von PC-Viren mitunter reicht, zeigt eine Meldung aus dem hessischen Wintersportort Willingen. Aufgrund der Mail-Belastung durch MyDoom, sagte Helmut Kesper von der dortigen Kurverwaltung der Nachrichtenagentur dpa, könne man "die Anfragen von Touristen nicht so schnell beantworten wie sonst". Insofern behindere MyDoom auch Wintersportler, die aufgrund der derzeitigen ausgezeichneten Wintersportbedingungen in Massen bei Hotels und Pensionen anfragten. So bitter das sein mag, ist der Kurverwaltung Willingen dank MyDoom so zumindest gelungen, bundesweit auf die dortigen Wintersportbedingungen hinzuweisen: Ein Schelm, wer Böses dabei denkt.

Die Wiedergabe wurde unterbrochen.