Eine neue Variante des Wurmes Mydoom geht seit kurzem in Windeseile um die Welt. Mydoom.o ist ein Massenmail-Wurm, der sich via E-Mail und Peer-to-Peer-Programme verbreitet. Zudem öffnet der Wurm einen Port auf dem Rechner. Damit können Hacker voll auf den PC zugreifen. Weil diese neue Variante des Mydoom-Wurmes neben dem befallenen Rechner zusätzlich das Internet über Suchmaschinen nach E-Mail-Adressen durchsucht, wurden bereits Suchmaschinen wie Google, Lycos, AltaVista und Yahoo über eine denial-of-Service-Attacke stark beeinträchtigt. Finjan Software stuft die Gefahr durch Mydoom.o als "mittel" ein.
Verbreitung Mydoom.o verbreitet sich über SMPT. E-Mail-Adressen werden in MS Outlook und im Internet auf öffentlich zugänglichen Seiten gesammelt. Der schädigende Code kommt als .exe-, .com-, .cmd-, .bat-, .scr- oder .pif-Dateianhang, kann aber auch in einem ZIP-Archiv versteckt sein. Wird das Attachment geöffnet, installiert sich Mydoom.o. Der Wurm kann aber auch über Peer-to-Peer-Programme übertragen werden, indem er sich selber in Ordner kopiert, die den String (Zeichenfolge) "USERPROFILE" oder "yahoo.com" tragen.
Installation
* Der Wurm installiert sich selbst als JAVA.exe im Verzeichnis
%Windir%.
* Er enthält die Remote-Zugangskomponente SERVICES.exe.
* Mydoom.o öffnet den TCP-Port 1034 auf dem infizierten Computer um auf den Rechner zugreifen zu können (Backdoor.Zincite.A). Vorsorge Finjans verhaltensbasierte Code-Analyse schützte die Kunden komplett vor einem Befall druch Mydoom.o. Die Gateway-Produkte Vital Security for E-Mail und Vital Security for Web blockten den Wurm. Anstelle von Mydoom.o fanden sie E-Mails in ihrem Posteingang, die sie darüber informierten, dass der Virus entdeckt und geblockt wurde, bevor ein Signatur-Update des Virenscanners installiert wurde.
Verbreitung Mydoom.o verbreitet sich über SMPT. E-Mail-Adressen werden in MS Outlook und im Internet auf öffentlich zugänglichen Seiten gesammelt. Der schädigende Code kommt als .exe-, .com-, .cmd-, .bat-, .scr- oder .pif-Dateianhang, kann aber auch in einem ZIP-Archiv versteckt sein. Wird das Attachment geöffnet, installiert sich Mydoom.o. Der Wurm kann aber auch über Peer-to-Peer-Programme übertragen werden, indem er sich selber in Ordner kopiert, die den String (Zeichenfolge) "USERPROFILE" oder "yahoo.com" tragen.
Installation
* Der Wurm installiert sich selbst als JAVA.exe im Verzeichnis
%Windir%.
* Er enthält die Remote-Zugangskomponente SERVICES.exe.
* Mydoom.o öffnet den TCP-Port 1034 auf dem infizierten Computer um auf den Rechner zugreifen zu können (Backdoor.Zincite.A). Vorsorge Finjans verhaltensbasierte Code-Analyse schützte die Kunden komplett vor einem Befall druch Mydoom.o. Die Gateway-Produkte Vital Security for E-Mail und Vital Security for Web blockten den Wurm. Anstelle von Mydoom.o fanden sie E-Mails in ihrem Posteingang, die sie darüber informierten, dass der Virus entdeckt und geblockt wurde, bevor ein Signatur-Update des Virenscanners installiert wurde.
