Web

 

Neue Version von Mydoom unterwegs

21.07.2004

Sicherheitsspezialisten haben eine neue Variante des Massenmailers "Mydoom" abgefangen. Vorsicht ist geboten, wenn Mails von Absendern wie "Postmaster", "Post Office" oder "MAILER-DAEMON" eingehen. Mydoom.N benutzt diese gefälschten Adressen zusammen mit wenig aussagekräftigen Betreffzeilen wie "hello", "hi" oder "delivery failed", um den Anwender zu täuschen. Gleichzeitig besitzt der Schädling ein Attachment, das Bezeichnungen wie "readme", "mail" oder schlicht "attachment" trägt, wobei die Dateiendung auf .cmd, .bat, .com, .exe oder .zip lauten kann, warnt der Antivirenspezialist McAfee.

Wird der Virus ausgeführt, kopiert er sich als "LSASS.EXE" ins lokale Windows-Verzeichnis. Außerdem legt der Schädling einen Registry-Eintrag an, durch den er bei jedem Systemneustart ausgeführt wird. Zusätzlich öffnet Mydoom.N den TCP-Port 1042. Diesen Kanal könnte ein Hacker benutzen, um Befehle an das infizierte System zu senden.

Der Wurm verfügt über eine eigene SMTP-Engine und versucht, sich mit deren Hilfe von verseuchten Hosts aus weiterzuversenden. Er nutzt aber aber auch freigegebene Verzeichnisse (Shares), um andere Rechner anzustecken. Die von Mydoom.N ausgehende Gefahr wird zwar als gering eingeschätzt, Anwender tun dennoch gut daran, schnellstmöglich ihre Antivirensoftware zu aktualisieren. (ave)