MÜNCHEN (COMPUTERWOCHE) - Antivirenexperten warnen vor einer neuen Variante des Internet-Wurms "MyDoom". Wie bereits Vorgängerversionen nutzt er Suchmaschinen wie Google und Yahoo, um E-Mail-Adressen für die Verbreitung zu finden.
Infizierte E-Mails enthalten einen Dateianhang mit der Extension ".bat", ".cmd", ".com", ".exe", ".pif", ".scr" oder ".zip". Nach einem Klick auf das Attachment installieren sich die Dateien "java.exe" und "services.exe" in das Windows-Verzeichnis. Sie beinhalten ein Trojanisches Pferd, das weitere Schadroutinen von der Webadresse "www.aoprojecteden.org" nachlädt und ausführt. Ferner bringt der neue MyDoom eine eigene SMTP-Engine (Simple Mail Transfer Protocol) mit. Über diese verschickt sich der Wurm selbständig an Adressen, die er aus dem Windows-Adressbuch und aus lokal gespeicherten Dateien sammelt.
Infizierte E-Mails sind an (gefälschten) Absendern wie
"Postmaster"
"Mail Administrator"
"Automatic Email Delivery Software"
"Post Office"
"The Post Office"
"Bounced mail"
"Returned mail"
"MAILER-DAEMON"
"Mail Delivery Subsystem"
zu erkennen. Die Betreffzeile lautet unter anderem
hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error delivered
Der Nachrichtentext ist in englischer Sprache verfasst und enthält Informationen zu angeblichen Spam-Problemen mit dem E-Mail-Account.
Betroffen sind Windows-Systeme ab Version 95. Kostenlose Tools, mit denen sich der Schädling vom Rechner entfernen lassen soll, haben Symantec und McAfee bereitgestellt. (lex)