Mimail und Dumaru - Neue Versionen unterwegs

W32.Mimail.R kommt in der neuen Variante mit zufällig generierten Betreffzeilen. Der Text verweist auf den Anhang und lautet: "Die Nachricht enthält laut Trend Micro Unicode-Zeichen und wurde als binärer Dateianhang versendet". Der Anhang kommt wahlweise als ZIP-, EXE-, PIF-, SCR- oder BAT-Datei mit zufälliger Namensgebung. Mimail verschickt sich über eine eigene SMTP-Engine massenhaft und kann auch als Backdoor fungieren. Symantec führt den Wurm unter dem neuen Namen W32.Novarg.A. McAfee und Sophos bezeichnen ihn als W32.MyDoom-A.

W32.Dumaru hat seit seinem ersten Muster im September 2003, was die Weiterentwicklung betrifft, den Weg von Russland nach Deutschland geschafft. Zumindest ist man bei Kaspersky Labs der Ansicht, dass die jüngeren Varianten des Wurms - inklusive der neu aufgetauchten Versionen "J","K", "L" - hier zu Lande bearbeitet wurden. Dumaru verspricht ein Foto im Anhang: "Hi! Here is my photo, that you asked for yesterday." installiert sich beim Öffnen des Anhangs jedoch selbst und damit auch die Fähigkeit, Tastatureingaben zu protokollieren und Systeminformationen auszuspähen. Eine Backdoor ist ebenfalls im Programm.

Während sich Dumaru, was die verwendete Technologie betrifft, nicht nennenswert von der Ursprungsversion unterscheidet, hält Kaspersky die kombinierte Verbreitung des Schädlings für bemerkenswert. Zuerst als Massenmail via SPAM-Technologie verschickt, hat Dumaru laut Kaspersky inzwischen genügend Rechner infiziert, um sich von den betroffenen Systemen aus zu verschicken.

Um über die neuen Versionen von Viren und Würmern auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in den tecCHANNEL-Virenticker. Informationen zu Dumaru finden Sie hier bei Kaspersky. Die Beschreibung von Mimail ist unter anderem bei Trend Micro zu finden. Beide Schädlinge sind Windows-Würmer und müssten von den neuesten Signaturen der Antivirenprogramme erkannt werden. (uba)