Novarg alias MyDoom wird zur Epidemie

Laut den Antivirenherstellern hat sich der Wurm W32.Novarg alias MyDoom und Mimail.R in kurzer Zeit weltweit auf etwa 300.000 Rechnern verbreitet.

Die explosionsartige Verbreitung hat nach Meinung von Kaspersky Labs gute Chancen, die Rekorde von 2003 zu übertreffen. Kaspersky geht zudem von einer wohl vorbereiteten Aktion aus, die auf ein Netzwerk von infizierten Rechnern baute. Sobald eine kritische Anzahl von Rechnern befallen war, sei ein zentralisierter Befehl zum Versand von Novarg ergangen. Kaspersky glaubt nach genauerer Analyse des Verbreitungsgebietes, dass Novarg aus Russland stammt.

Als Verbreitungswege hat Novarg/MyDoom E-Mail und auch die Tauschbörse Kazaa gewählt. Mails haben eine zufällig gewählte Absenderadresse, zudem hat Kaspersky für den Mailversand acht Betreff-Varianten, vier Textversionen und 18 Dateinamen für den Anhang ausgemacht. Eine sinnlose Folge von Zeichen für Betreff, Text und Dateinamen gehöre ebenfalls dazu. In Kazaa ist Novarg unter verschiedenen Namen unterwegs - etwa winamp5, icq2004-final.

Wird der Anhang/Download ausgeführt, startet Novarg das Windows Notepad und zeigt eine Zufallsabfolge von Zeichen. Gleichzeitig trägt er Dateien ins Systemverzeichnis ein. Zum Versand via E-Mail durchsucht er die Festplatte nach Dateien mit den Erweiterungen HTM, WAB und TXT. Ist Kazaa installiert, kopiert sich der Wurm in das öffentlich zugängliche Fileshare-Verzeichnis.

Novarg installiert auf dem infizierten Rechner ein Proxy-Server-Modul, das zum Versand von Spam oder zur Installation neuer Malware-Versionen genutzt werden kann. Ein Backdoor-Programm wird auch installiert. Zudem versucht Novarg eine DoS-Attacke auf die Webseite sco.com der SCO Group zu fahren. Die DoS-Funktion wird laut Kaspersky vom 1. bis 12. Februar 2004 aktiv und schickt GET-Anfragen an Port 80. Die detaillierte Analyse von Kaspersky können Sie hier nachlesen.

Die Antivirenspezialisten haben nach eigenem Bekunden ihre Signaturen angepasst. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf Novarg/MyDoom reagiert und Informationen veröffentlicht. (uba)