Web

Wurm: Neue MyDoom-Variante nutzt Google

17.02.2005
Der Internet-Wurm bedient sich bei Suchmaschinen wie Google und Yahoo, um E-Mail-Adressen für die Verbreitung zu finden.

MÜNCHEN (COMPUTERWOCHE) - Antivirenexperten warnen vor einer neuen Variante des Internet-Wurms "MyDoom". Wie bereits Vorgängerversionen nutzt er Suchmaschinen wie Google und Yahoo, um E-Mail-Adressen für die Verbreitung zu finden.

Infizierte E-Mails enthalten einen Dateianhang mit der Extension ".bat", ".cmd", ".com", ".exe", ".pif", ".scr" oder ".zip". Nach einem Klick auf das Attachment installieren sich die Dateien "java.exe" und "services.exe" in das Windows-Verzeichnis. Sie beinhalten ein Trojanisches Pferd, das weitere Schadroutinen von der Webadresse "www.aoprojecteden.org" nachlädt und ausführt. Ferner bringt der neue MyDoom eine eigene SMTP-Engine (Simple Mail Transfer Protocol) mit. Über diese verschickt sich der Wurm selbständig an Adressen, die er aus dem Windows-Adressbuch und aus lokal gespeicherten Dateien sammelt.

Der Nachrichtentext der neuen MyDoom-Variante gibt vor, über den Mail-Account des Opfers sei außergewöhnlich viel Spam verschickt worden.
Der Nachrichtentext der neuen MyDoom-Variante gibt vor, über den Mail-Account des Opfers sei außergewöhnlich viel Spam verschickt worden.

Infizierte E-Mails sind an (gefälschten) Absendern wie

  • "Postmaster"

  • "Mail Administrator"

  • "Automatic Email Delivery Software"

  • "Post Office"

  • "The Post Office"

  • "Bounced mail"

  • "Returned mail"

  • "MAILER-DAEMON"

  • "Mail Delivery Subsystem"