computerwoche.de

Web

Nach Mydoom: Experten warnen vor neuen Würmern

10.02.2004

MÜNCHEN (COMPUTERWOCHE) - "Doomjuice" und "Deadhat" heißen zwei neue Würmer, die durch den Schädling "Mydoom" hinterlassene Sicherheitslücken ausnutzen. Da die Mydoom-Nachfolger nicht per E-Mail verbreitet werden, stufen Antivirenexperten das von ihnen ausgehende Schadenspotenzial als gering ein. Nach Ansicht von Vincent Gullotto, Vice President des Antivirus Emergency Response Teams von Network Associates, weisen weltweit nur noch 50.000 bis 100.000 Rechner durch Mydoom geöffnete Ports auf. Betroffen sind lediglich Windows-PCs und -Server.

Doomjuice ist darauf ausgelegt, DoS-Attacken (Denial of Service) auf die Website von Microsoft zu starten. Ob der Wurm dazu in der Lage ist, Microsoft.com in die Knie zu zwingen, gilt als unwahrscheinlich. Die Angriffe des Vorgängers Mydoom.B blieben ebenfalls erfolglos (Computerwoche.de berichtete).

Der über die Online-Tauschbörse Soulseek verbreitete Deadhat entfernt Mydoom aus befallenen Systemen und nistet sich an dessen Stelle ein. Dort wartet er als trojanisches Pferd auf weitere Befehle, die über den TCP-Port 2766 eintreffen. Eine unmittelbare Schadenswirkung ist nicht bekannt.

Auf von Doomjuice befallenen Rechnern finden sich im Systemverzeichnis die Datei "intrenat.exe" sowie der Eintrag "Gremlin" = "%System%\intrenat.exe" in den Registry-Schlüsseln "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" und " HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run". Dadurch wird die Schadroutine automatisch beim Windows-Start gestartet.

Deadhat nistet sich im Systemverzeichnis als "sms.exe" ein. Der dazu gehörende Registry-Eintrag heißt "KernelFaultChk"="%System%\sms.exe" und steht im Schlüssel "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run". Experten warnen vor dem Download folgender Dateien über Soulseek:

Windows2003Keygen.exe

mIRC.v6.12.Keygen.exe

Norton.All.Products.KeyMkr.exe

F-Secure.Antivirus.Keymkr.exe

FlashFXP.v2.1.FINAL.Crack.exe

SecureCRTPatch.exe

TweakXPProKeyGenerator.exe

FRUITYLOOPS.SPYWIRE.FIX.EXE

ALL.SERIALS.COLLECTION.2003-2004.EXE

WinRescue.XP.v1.08.14.exe

GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe

BlindWrite.Suite.v4.5.2.Serial.Generator.exe

Serv-U.allversions.keymaker.exe

WinZip.exe

WinRar.exe

WinAmp5.Crack.exe

Die gängigen Antiviren-Tools erkennen und beseitigen die Schädlinge, wenn die aktuellen Signaturen eingespielt sind. (lex)