MyDoom.B - DoS-Attacke gegen Microsoft

Die neue Version birgt nach Meinung des Antivirenspezialisten ein ähnliches Verbeitungspotenzial wie der Vorgänger. Grund dafür: MyDoom.B könnte per Kommando an bereits mit MyDoom infizierte Maschinen verschickt werden. Zumindest glaubt Kaspersky nach einer ersten Analyse an diese Möglichkeit. Trend Micro schätzt das Risiko dagegen als "niedrig" ein.

Ansonsten bringt MyDoom.B nur wenige Änderungen mit. Bei der Analyse seien einige geänderte Text-Strings aufgefallen, berichtet Kaspersky. Außerdem wendet sich die DoS-Attacke, die der Wurm beginnend mit dem ersten Februar auslöst, nun auch gegen Microsoft und nicht mehr allein gegen die SCO Group.

Wird MyDoom.B per Mail verschickt, sind im Text der analysiserten Mails mit dem Wurm unter anderem die neuen Zelen "sync-1.01; andy; I'm just doing my job, nothing personal, sorry" zu finden. Zufällige Zeichenfolgen seien aber ebenfalls denkbar. Der Wurm versucht zudem den Aufruf von Webseiten einiger Antivirenhersteller und Sicherheits-Dienste zu verhindern und auch den einiger Seiten von Microsoft. Eine Liste der geblockten Seiten finden Sie in der Beschreibung von Kaspersky. Auch der Download von Bannern von den Servern der namhaften Lieferanten wird demnach verhindert. Ansonsten bedarf es zum Ausführen des Wurms immer noch eines Doppelklicks auf den Anhang beziehungsweise des Downloads. Die neue Variante öffnet ebenfalls eine Backdoor und verbreitet sich über das Filesharing-Netzwerk Kazaa. Ist der Kazaa-Client auf dem Rechner installiert, kopiert sich der Wurm in das zum Tausch frei gegebene Verzeichnis und täuscht die folgenden vermeintlichen Programme vor: NessusScan_pro, attackXP-1.26, winamp5, MS04-01_hotfix, zapSetup_40_148, BlackIce_Firewall_Enterpriseactivation_crack, xsharez_scanner, icq2004-final. Die Endungen der Dateien variieren zwischen .BAT, .EXE, .SCR, .PIF. Die Antivirenhersteller haben ihre Signaturen überwiegend bereits auf den neuen Wurm angepasst. (uba)