Zindos.A nutzt MyDoom.O-Backdoor

Auf dem infizierten Rechner installiert der vor wenigen Tagen erschienene W32/MyDoom.O das Backdoor-Server-Programm Backdoor.Zincite.A, das Port 1034 öffnet und damit die betroffenen Systeme für Angriffe zugänglich macht. Angaben von Sicherheitsexperten zufolge kursiert nun seit Mittwoch ein Wurm namens W32/Zindos.A im Web, der auf infizierten Rechnern mit Windows 95/98/200/Me/NT/XP drei Minuten nach gelungenem Einfall eine DoS-Attacke gegen die microsoft.com-Domäne starten will. Die Microsoft-Seite wird dabei anfangs jede Sekunde geladen, das Intervall verkürzt sich dann auf 0,25 Sekunden.

Zindos.A speichert sich im Temp-Verzeichnis als .exe-Datei mit einem zufällig generierten Namen. Der Wurm erstellt dann einen der folgenden Einträge in die Registry "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Tray" oder "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Tray", um bei jedem Neustart ausgeführt zu werden.

Wie Symantec mitteilte, habe sich der Wurm aufgrund einiger Fehler im Code bislang nicht rasant verbreiten können. Erreicht der Wurm einen von Backdoor.Zincite.A befallenen Rechner, so wird aufgrund der vorhandenen Codefehler eine Endlosschleife in Gang gesetzt, bei der das System immer wieder neu infiziert wird.

Dass in den nächsten Tagen weitere Schädlinge erscheinen, die die von MyDoom.O geöffnete Backdoor ausnützen, schließen Sicherheitsexperte nicht aus. Ein Tool zum Entfernen des Zindos.A-Wurms finden Sie zum Beispiel hier bei Symantec.

Über die aktuelle Virenlage informiert Sie ständig aktuell unser Virenticker. Die wichtigsten Aspekte zum Thema Sicherheit finden Sie auf 200 Seiten in unserem aktuellen tecCHANNEL-Compact "Sicherheit", das Sie online versandkostenfrei für 9,90 Euro bestellen können. tecCHANNEL-Compact gibt es auch im Abo - Sie sparen dabei 1,50 Euro pro Ausgabe. Ältere Compact-Ausgaben erhalten Sie in unserem Premium-Bereich im Übrigen kostenlos.(bsc)