Web

VORSICHT: Neuer Mailwurm in Umlauf

27.01.2004
Mit weiterhin enormer Geschwindigkeit verbreitet sich derzeit der neue Mailwurm MIMAIL.R, auch bekannt als Mydoom oder Novarg. Inzwischen grassiert bereits eine neue .B-Variante.

MÜNCHEN (COMPUTERWOCHE) - Alle großen Anbieter von Antivirensoftware warnen vor einer neuen Variante des Mimail-Wurms. "WORM_MIMAIL.R" - bei der Konkurrenz heißt er "Mydoom" (NAI) oder "Novarg" (Symantec) - hat demnach die Fähigkeit, zufällige E-Mail-Betreffzeilen, Nachrichtentexte und Dateianhangsnamen zu generieren. Er bietet überdies die Möglichkeit, als Backdoor auf dem betroffenen System zu fungieren. Angreifbar sind PCs mit Windows ab Version 95.

Erkennen kann man den Schädling am Text "Die Nachricht enthält Unicode-Zeichen und wurde als binärer Dateianhang versendet." und einem anhängenden Zip-Archiv mit zufälligem Namen. Wir raten dringend dazu, derartige Botschaften umgehend zu löschen und für hoffentlich vorhandene Virenscanner die neuesten Definitionen einzuspielen, falls dies nicht ohnehin automatisch geschieht.

Die großten Antivirenfirmen gehen derzeit davon aus, dass sich der neue Wurm schneller verbreitet als der "Spitzenreiter" des letzten Jahres "Sobig.F". MIMAIL.R verschickt sich über das Adressbuch eines befallenen Rechners und nutzt auch einen eventuell installierten Kazaa-Client zur Weiterverbreitung. Angeblich verschickt er auch Anfragen an die Website der SCO Group, um diese per DoS (Denial of Service) lahm zu legen.

+++ UPDATE (29.01.2004) +++

Der seit Wochenbeginn grassierende "Mydoom"-Virus - auch bekannt als "Novarg" oder "MIMAIL.R" - hat bereits einen Ableger erhalten. "MyDoom.B" ist so programiert, dass er ab 1. Februar für zwölf Tage eine Denial-of-Service-Attacke gegen www.microsoft.com startet. Der Code für den gleichartigen Angriff gegen die Webpräsenz der SCO Group ist weiterhin enthalten. Die B-Variante verändert außerdem Systemdateien von Windows so, dass der Zugriff auf 65 Websites blockiert wird, die größtenteils Antivirenfirmen gehören.

Firmen wie Messagelabs haben Mydoom.A bereits zum bislang virulentesten Erreger der Computergeschichte erklärt. Experten vermuten zudem, dass der Erstling dazu missbraucht wird, die neue B-Fassung weiterzuverbreiten. Die meisten Antivirus-Anbieter haben neben aktualisierten Definitionen bereits Standalone-Tools zur Entfernung von Mydoom.A veröffentlicht, ähnliche für Mydoom.B dürften in Kürze folgen.

Verschiedene Experten verweisen im Zusammenhang mit dem neuen Schädling darauf, dass ein früher populäres Feature in Antiviren-Software bei den so genannten Massmailern zunehmend zum Problem wird - wenn nämlich Schutzsoftware die vermeintlichen Absender verseuchter Mails per E-Mail informiert, dass sie einen Virus verschickt haben. Da praktisch jeder neue Wurm mit gefälschten Absendern arbeitet, werden die Postfächer unschuldiger E-Mail-Nutzer mit Falschwarnungen überschwemmt und das Netz ausgebremst. Administratoren sollten die Benachrichtigungsfunktion daher deaktivieren, da sie weit mehr schadet als nützt. (tc)