Mydoom.F attackiert Microsoft und RIAA

MyDoom-F erstellt eine zufällig benannte Datei im Windows-System- oder im Windows-Temp-Ordner und fügt einen ebenso zufällig benannten Registrierungseintrag zu HKLM\Software\Microsoft\Windows\CurrentVersion\Run hinzu. Der Wurm kopiere sich zudem unter zufällig gewählten Dateinamen in alle Verzeichnisse. Auf dem befallenen System legt MyDoom.F eine Datei mit der Erweiterung DLL im Windows-System- oder im Windows-Temp-Ordner ab. Dabei handelt es sich um ein Backdoor-Programm, welches Port 1080 öffnet und damit Angreifern das Ausführen beliebigen Codes erlaubt.

Nach Analysen von NetXactics weist Mydoom.F eine im Vergleich zu seinen Vorgängern aggressivere Löschroutine auf. Auf dem infizierten Computer lösche der Schädling bis zu 40 Prozent aller Dateien mit den Endungen "mdb", "doc", "xls", "sav", "jpg", "avi" und "bmp". Anders als die weiteren MyDoom-Varianten enthalte dieser kein Auslauf-Datum.

Wie sein Vorgänger Mydoom.B startet der Wurm eine DoS-Attacke gegen Microsoft. Von einer Denial of Service-Attacke sei jedoch auch die Recording Industry Association of America betroffen. Angaben der RIAA zufolge war am Dienstag die Webseite des US-Plattenindustrieverbands 74 Prozent der Zeit nicht erreichbar. Die DoS-Funktion ist laut dem NetXactis vom 17. bis 22. jeden Monats aktiv.

Der Wurm verbreitet sich per E-Mail sowie über den File-Sharing-Anbieter KaZaa. Als angehängte Datei tarne sich der Wurm hinter den Endungen "exe", "scr", "com", "pif", "bat", "cmd" oder "zip". In der Betreffzeile sowie im Text der infizierten Mail beinhalte der Wurm verschiedene Formulierungen. Eine Beschreibung von MyDoom.F finden Sie hier bei Sophos. (bsc)