Kontakt

Mit Klick auf „Jetzt kaufen“ stimmst Du den AGB zu. Als Verbraucher steht Dir ein Widerrufsrecht zu. Informationen zum Datenschutz findest Du in unserer Datenschutzerklärung. 

Computervirus "Mydoom"

Ein neuer Computervirus namens "Mydoom" und seine neueste Variante Mydoom.B überschwemmen derzeit das Internet. Sie attackieren das Betriebssystem Microsoft Windows per Massenmailing. In unglaublicher Geschwindigkeit wird der Internet-Wurm in Dateien mit den Endungen .bat, .cmd, .exe, pif, .scr und .zip versendet. Zusätzlich verbreitet er sich über KaZaA, einer Tauschbörse für Musik- oder Filmdateien.

Der Virus im Mailanhang

Öffnet man einen in einer Mail geschickten infizierten Anhang, so installiert der Wurm ein Backdoor-Programm über eine Datei im Systemverzeichnis von Windows. So öffnen sich die TCP-Ports 3127 bis 3198 und das Programm arbeitet als Proxy-Server. Der Proxy-Server ist dem eigentlichen Server vorgeschaltet - auf diesem Zwischenserver werden häufig benötigte Seiten gespeichert, die dann schneller aufgerufen werden können. Damit hat ein Angreifer die Möglichkeit, den infizierten Rechner fernzusteuern. Außerdem kann dieses Backdoor weitere Dateien aus dem Internet laden.

Rasante Ausbreitung des Wurms

Jeder, der an seine Freunde, die Familie oder Geschäftspartner Mails schickt ist mit seiner Adresse in vielen Adressbüchern der anderen aufgelistet und wird deshalb auch ein Teil des Viren-Systems. Der Wurm legt eine Datei message im Temp-Verzeichnis an. In Dateien mit folgenden Endungen:.htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt werden E-Mail-Adressen zur weiteren Verbreitung gesucht.

Firewall als Schutz

Besonders gefährdet sind die Windows-Rechner, die über keine Firewall verfügen. Über die Firewall sind normalerweise nur die Ports, also Pforten geöffnet, die auch tatsächlich benötigt werden. Habe ich keine Firewall, so sind auch unbenutzte Ports geöffnet, über die sich der Virus Zugang verschafft. Im Internet gibt es auch Firewall-Programme, die man sich kostenlos herunterladen kann.

Die E-Mail hat folgende Charakteristik:

Von: Hier kommen gefälschte Adressen auch, wenn sie einem bekannt vorkommen.

Als Betreff wird einer der folgenden gewählt: test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status, Error.

Die Nachricht kann lauten: Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. Es kann aber auch ein ganz einfacher, meist unpersönlicher Text auf Deutsch übermittelt werden.

Als Namen des Anhangs werden verwendet: document, readme, doc, text, file, data, test, message, body.

Als Datei-Endung gibt es: pif, scr, exe, cmd, bat, zip

Größe des Anhangs: 22.528 Bytes.

Außerdem kopiert sich dieser Wurm Novarg.A in das Download-Verzeichnis von KaZaA, als Datei: winamp5 , icq2004-final, ctivation_crack, strip-girl-2.0bdcom_patches, rootkitXP, office_crack, nuke2004 mit den Dateiendungen: pif, scr, bat, exe.

Ist mein Rechner auch befallen?

Ohne Antivirenprogramm ist es sehr schwer festzustellen, ob der eigene Rechner den Virus hat oder nicht. Auch ein befallener Rechner stürzt nicht ab oder hat Probleme bei den verschiedenen Anwendungen. Um zu wissen, ob der eigene Rechner befallen ist, kann man auf die Suche nach den Dateien "taskmon.exe und "shimgapi.dll in /windows/system32 gehen wird man fündig, hat der eigene Rechner den Virus. Beim Entfernen des Virus solltet ihr allerdings unbedingt auf spezielle Tools zurückgreifen, um nicht noch mehr Schaden anzurichten und den Wurm auch wirklich vollständig zu löschen.

Nähere Infos zu diesen Tools findet ihr in einem Online-Artikel auf der Seite von: Heise Security.

Virenmails

"Mydoom" fälscht Absenderadressen - er holt sich von befallenen PCs die Adressbucheinträge und verschickt weitere Virenmails. Es können deshalb auch Virenmails mit deiner oder einer ähnlichen Mailadresse verbreitet werden, obwohl diese nicht von deinem PC verschickt wurden.

Wichtig ist, dass nicht der Mailempfang selbst zu einem Schaden am Rechner führt. Gefährlich wird es, sobald ein Anhang (z.B. zip-Datei) geöffnet wird, da mit dem Öffnen das Virenscript aktiv wird und der PC verseucht werden kann.

Bitte unbekannte Anhänge nicht öffnen!

Grundsätzlich ist derzeit bei jeder Mail genau zu überprüfen, ob der Absender auch zum Inhalt passt. Da auch dem Empfänger bekannte Adressen für die Virenattacke benutzt werden, sollte man genau auf den Betreff achten. Außerdem sollten deutsche Adressen mit englischen oder anderen fremdsprachigen Texten sofort gelöscht werden. Unerwartete Anhänge, die nicht vorangekündigt oder abgesprochen waren, sollte man im Moment lieber nicht öffnen. Sollte man Zweifel haben, sollte man sich lieber beim Absender nochmals erkundigen, ob die angehängte Datei tatsächlich für einen bestimmt war oder eben nur der Virus ist. Alle unbekannten Mails sollten sofort nach dem Empfang gelöscht werden. Auch der Browserpapierkorb sollte regelmäßig geleert werden.

Am besten ist, wenn ihr nach dem Mailabruf nochmals überprüft, ob die Mails "echt" sind und erst dann einen Anhang öffnet, wenn dieser z.B. im Mailtext euch auch tatsächlich angekündigt wird. Mails ohne Begleitschreiben - auch von bekannten Adressen, die nur einen Anhang tragen, sind Virenmails!

Neue Variante: Mydoom.B

Die Wurm-Mutation Mydoom.B arbeitet wie sein noch immer aktiver Vorgänger - er verbreitet sich aber zusätzlich über die mittels der von Mydoom.A geöffneten Backdoor Ports. Angeblich startet der Wurm neben der Attacke auf die Webseite der Firma SCO zwei Tage später einen weiteren Angriff auf die Server von Microsoft. Außerdem blockiert der Wurm das Aufrufen der Webseiten der Antivirenhersteller Symantec & Co.

Die Mydoom- Virenschwemme wird noch einige Zeit andauern - 1/3 aller Mails sind derzeit weltweit davon betroffen.

Weitere Infos unter:

Heise Security.

-ab-30.01.04 Text /Fotos: Photodisc

Hinweis: Im Archiv wurden alle Bilder und Links entfernt