- Bereits 103 Varianten des Schädlings entdeckt
- Veränderung der HOST Datei verhindert Zugriff auf Sicherheits-Webseiten
- Hintertür ermöglicht u.a. Spyware Installation
Duisburg, May 11 2005
Der oder die Programmierer des Mytob Wurmes bringen weiter Varianten des Wurmes in Umlauf um so viele Systeme wie möglich zu infizieren. Mit den neu entdeckten Varianten CU und CX existieren nun 103 “Mitglieder” dieser “Wurm-Familie”.
Die große Gefahr der Mytob Würmer besteht darin, dass der Wurm auch Eigenschaften eines Backdoor Trojaners besitzt, die es ihm erlauben die Kontrolle über das infizierte System zu übernehmen. Luis Corrons, Leiter des Panda Virenlabors sagt: “Die wahre Absicht der Programmierer dieses Wurmes ist die Erschaffung eines Netzwerks infizierter Systeme die alle den Programmierern “gehorchen”. Somit haben die Autoren beispielsweise die Möglichkeit Spionageprogramme auf hunderten von Systemen gleichzeitig zu installieren. Diese und unzählige weitere Möglichkeiten die sich dadurch ergeben können in finanziellen Schäden für die Nutzer infizierter Systeme gipfeln.“
Die neuen Varianten haben dieselben Eigenschaften wie die Vorgänger. Die Verbreitung erfolgt via E-Mail. Der Inhalt dieser Mail ist ein Hinweis auf Probleme mit dem Mail Account oder versendeter Nachrichten. Die Betreffzeile ist variabel und kann unter anderem folgendermaßen lauten: “Your email account access is restricted” oder “Your Email Account is Suspended For Security Reasons”. Der Text der Nachricht beinhaltet u.a. folgende Elemente:“To unblock your email account acces, please see the attachment” oder “We have suspended some of your email services, to resolve the problem you should read the attached document”.
Der Dateianhang beinhaltet den Wurm und kann folgendermaßen heißen: “email-info”, “email-text” oder “email-doc”.
(Eine vollständige Liste der möglichen Betreffzeilen, Textpassagenfinden Sie in der Panda Software Datenbank: http://www.pandasoftware.com/...).
Sobald der Dateianhang durch Anklicken gestartet wird erzeugt er die Datei „internet.exe“ und sucht nach E-Mail Adressen um sich anschließend selbstständig an diese zu versenden. Des Weiteren beendet er Prozesse von Sicherheitslösungen und modifiziert die HOST Datei um zu verhindern dass die Nutzer auf diversen Sicherheits-Webseiten Entfernungs-Tools oder Aktualisierungen herunterladen.
Abschließend kreiert der Wurm diverse Registry Einträge um sicher zu stellen, dass er bei jedem Windows Start geladen wird und baut eine Verbindung zu einem zufällig ausgewählten IRC Server auf um dort auf Anweisungen der Programmierer zu warten.
„In den letzten Monaten erlebten wir immer wieder Viren-Wellen. Die Motivation der Programmier von Viren wie Mytob, Bropia oder Kelvir hat einen ganz klaren finanziellen Hintergrund. Es ist sehr interessant und erschreckend zugleich, zu wissen, dass der weltweite Schaden durch Spyware, basierend auf Schätzungen, mit ca. 2 Mrd. Dollar pro Jahr beziffert wird.“ erklärt Corrons.
Um sich vor Attacken durch Mytob oder anderen Schädlingen zu schützen empfiehlt Panda Software allen Nutzern den Einsatz einer aktuellen Antiviren-Lösung sowie einer Firewall. Achten Sie darauf dass Ihre Sicherheitssoftware auf dem neuesten Stand ist und sich regelmäßig, am besten täglich, aktualisiert.
Nutzer die keine aktuelle Sicherheitslösung installiert haben können Ihr System mit Hilfe des kostenfreien Online-Virenscanners „Panda ActiveScan“ (http://www.pandasoftware.com/...) auf Viren- und Malware Befall überprüfen.
Markus Mertes
M.Mertes@Panda-Software.de