Web

 

Neue "Mimail"-Version zielt auf Anti-Spam-Sites

04.12.2003

MÜNCHEN (COMPUTERWOCHE) - Während die Versionen "I" und "J" des Internet-Wurms "Mimail" versuchten, über gefälschte PayPal-Fenster Kreditkartendaten auszuspionieren (Computerwoche online berichtete), zielt die Variante "L" des Schädlings auf Websites, die "Blacklists" und Tools zur Eindämmung von Spam-Mails bieten.

Mimail.L verbreitet sich nach bekanntem Muster via E-Mail über Windows-PCs. Infizierte E-Mails kommen von einer "Wendy" und sind an der Betreffzeile "Re[2] We are going to bill your credit card:" zu erkennen. Der Inhalt der Nachricht dürfte nur pervers veranlagte Zeitgenossen zum Klick auf das Attachment "Wendy.zip" veranlassen, das pornographische Bilder Minderjähriger und Aufnahmen von Inzest-Orgien enthalten soll.

In einer zweiten Mimail.L-Variante berichtet jene Wendy von sexuellen Abenteuern mit dem angeblichen Zwillingsbruder des Mail-Empfängers. In diesem Fall verspricht der Mail-Anhang entsprechende Fotos.

Das Zip-Archiv im Attachment enthält die ausführbare Datei "For_greg_with_love.jpg.exe". Sie setzt ein trojanisches Pferd frei, das der Urheber der Viren für DDoS-Attacken (Distributed Denial of Service) nutzt. Diese richten sich gegen Anti-Spam-Anbieter wie The Spamhouse Project, Spamcop.net oder Spews.org. Außerdem versucht der Wurm, sich selbständig an alle im Windows-Adressbuch eingetragenen Mail-Adressen weiterzuverschicken.

Die Mimail-Mail enthält ferner eine E-Mail-Adresse, unter der sich angeblich die Zusendung einer knapp 23 Dollar teuren Porno-CD abbestellen lässt. Dabei handelt es sich jedoch um eine Adresse des britischen Unternehmens The Spamhouse Project. Laut Gründer Steve Linford wurde das Postfach mit Mails von Anwendern überflutet, die sich über das unlautere Angebot beschwerten, das von den Anti-Spam-Aktivisten zu kommen schien. Linford hat daraufhin die Polizei eingeschaltet, um die Urheber zu ermitteln.

Laut Linford sind in der Szene drei organisierte Spam-Banden bekannt. Der Mimail-Wurm stamme vermutlich von einer dieser Gruppen, die sowohl am Versand von Massen-Mails als auch am Gebrauch gestohlener Kreditkartennummern verdienten. Die Freisetzung des Schädlings sei als Reaktion auf das Angebot von Techniken zur Vermeidung von Spam zu werten. "Sie mögen uns nicht, weil wir versuchen, den Spam-Kreislauf zu stoppen", sagte Linford.

Tools, die die unterschiedlichen Mimail-Varianten von infizierten PCs entfernen sollen, bietet Symantec zum kostenlosen Download an. (lex)