Mydoom.AO geht neue Wege

Wurmschreiber lassen sich ja immer neue Tricks einfallen, um Ihre Erzeugnisse möglichst breit zu streuen. „Mydoom.AO“ setzt jetzt erstmals Suchmaschinen dazu ein, um an neue E-Mail-Adressen zu kommen, an die er sich dann wiederum selbst versendet.

Der Wurm …

  • infiziert nur Rechner mit Windows NT/2000/XP/2003
  • lauscht auf dem Port 1034 nach externen Befehlen
  • lädt die harmlos aussehende Datei „MODULELOG.PNG“ herunter, die aber das Backdoor-Programm „Bck/Surila.J“ enthält
  • trägt sich selbst als Dienst auf dem befallenen Rechner ein
  • versucht durch verschiedene Tricks den Computer nicht zu sehr auszubremsen, um nicht aufzufallen
  • sucht lokal nach E-Mail-Adressen, an die er sich dann versendet
  • nimmt die Domain-Namen der gefundenen E-Mail-Adressen und sucht bei Altavista, Google, Lycos und Yahoo nach weiteren Adressen, die diese Domain-Namen enthalten
  • die versandten Mails beginnen unter anderem mit „Dear user of %domain%,“

Wer befürchtet, dass sein Rechner mit Mydoom.AO infiziert ist und seinem Viren-Scanner nicht traut, kann bei Panda ein kostenloses Removal-Tool herunterladen: Repair Utilities.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.