Neue agressive Mydoom-Variante verhindert Download von Signaturen

Mydoom.B überschreibt lokale Host-Files zahlreicher Anti-Viren-Hersteller

(PresseBox) ( München/Gloucester, )
MessageLabs, weltweit führender Managed Service Provider für E-Mail-Sicherheit in Unternehmen, hat einige Exemplare einer neuen Variante der Mydoom-Familie abgefangen. W32/Mydoom.B-mm verbreitet sich zwar langsamer als sein Vorgänger, seine Payload übertrifft jedoch den Turbo-Wurm Mydoom.A bei Weitem. Der Mass-Mailer überschreibt lokale Host-Files und wird dadurch künftig eine zentrale Rolle so genanten Phishing-Scams spielen: Mydoom.B ist in der Lage dazu, gespooften Websiten eine authentischere Optik verleihen und so maßgeblich zum Erfolg solcher Attacken beitragen. Ziel von Phishing ist das Erschleichen von vertraulichen Informationen wie beispielsweise Kontozugangsdaten.

Name: W32/Mydoom.b-mm Uhrzeit und Datum des ersten Zwischenfalls: 28. Januar 2004, 17:00 CET

Allgemeines Mydoom.B ist ein Mass-Mailer, der sich über eine integrierte SMTP-Engines sowie Peer-to-Peer-Netze verbreitet. Seine Payload überschreibt lokale Host-Files mit eigenen Informationen. Dies führt dazu, dass der User Websites, die über diese Host-Files angesteuert werden, nicht aufrufen kann. Betroffen sind mehr als 25 Domains, darunter auch McAffee, Microsoft, F-Secure, Sophos, Symantec, Network Associates und Trend Micro. Dieses Überschreiben verhindert den erfolgreichen Download von Signaturen und Microsoft-Patches.

Charakteristika betroffener E-Mails

Von: zufällig gespoofte E-Mail Adressen Subject: Zufällig Text: Unterschiedlich, unter anderem:
· The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
· The message contains Unicode characters and has been sent as a binary attachment.
· Mail transaction failed. Partial message is available.

Attachment: Unterschiedlich, mit Anhängen wie .zip, .exe, .pif, .cmd oder .scr. Das Attachment wird oft in einem ZIP-Archiv verschickt und als vermeintliche Text-Datei dargestellt. Tatsächlich handelt es sich aber um ein Executable.

Dateigröße: 29.184 bytes (exe)

Mydoom.B hat zugeschlagen, als sein Vorgänger Mydoom.A die Welt noch in Atem hielt. Schon nach kurzer Zeit hat sich Mydoom.A als Turbo-Virus mit bis dato ungekannter Verbreitungsgeschwindigkeit entpuppt: Am Abend des 28. Januar, einen Tag nach dem ersten Auftreten des Schädlings, hatte MessageLabs bereits 3.064.539 Kopien von Mydoom.A abgefangen. Der Wurm ist nach wie vor in 209 Ländern aktiv, wobei die USA (37%), Großbritannien (24%) und Australien (5%) am stärksten betroffen sind. Derzeit ist jede 20. E-Mail infiziert.

„Kein Virus hat je so deutlich eine Lanze für Managed Anti-Virus Services gebrochen, wie Mydoom“, so Mark Sunner, Chief Technology Officer bei MessageLabs. „Wer sich für einen Managed Service entscheidet, der genießt proaktiven Schutz und muss nicht auf die rettende Signatur warten. Mydoom.B vereitelt sogar den Download von Patches und Viren-Signaturen, so dass selbst die theoretische Verfügbarkeit effektiver Schutzmechanismen keine Abhilfe schaffen kann.“

MessageLabs hat alle Stränge dieses Virus mit Hilfe seiner patentierten heuristischen Technologie Skeptic proaktiv erkannt und abgefangen. Weitere Informationen finden Sie unter http://www.messagelabs.com/intelligence
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.