Startseite - Technik und Support - Mydoom-Autoren per neuer Wurm-Variante auf Jobsuche  1 von 1 1
Auf den Beitrag: (ID: 531513) sind "0" Antworten eingegangen (Gelesen: 205 Mal).
"Autor"

Mydoom-Autoren per neuer Wurm-Variante auf Jobsuche
Nutzer: MC-Solaar
Status: Profiuser
Post schicken
Registriert seit: 05.10.2001
Anzahl Nachrichten: 2065
geschrieben am: 16.09.2004    um 16:23 Uhr   
Die Programmierer der Malware Mydoom haben in zwei neu in Umlauf gebrachten Varianten - "MyDoom.U". und "MyDoom.V" - des Wurms versteckte Nachrichten eingebaut, in denen sie um einen Job bitten. "We searching 4 work in AV industry" lautet die in den Würmern versteckte Botschaft, also "Wir suchen nach Arbeit in der Antivirenindustrie." Das berichtet der britische Onlinedienst The Register.

Die beiden neuen Varianten tauchten erstmals Ende letzter Woche auf. Die Wahrscheinlichkeit für die Mydoom-Entwickler wirklich einen Job zu finden, sind eher gering. "Wie können wir uns auf einen Virus-Erschaffer verlassen, der Software entwickeln soll, die jeden Tag Millionen von Usern vor Angriffen schützt", sagte Graham Cluley, Chef-Technologieberater von Sophos. Neben moralischen Bedenken weist Sophos auch darauf hin, dass es Unterschiede gibt, zwischen der Fähigkeit einen Wurm zu schreiben und eine Software dagegen zu entwickeln.

Mydoom.U und Mydoom.V verbreiten sich per Mail und eigener SMTP-Engine. Die Mails enthalten als Betreff beispielsweise "You win!" oder "read it immediately". Der Text der Mails kann leer oder Sätze wie "fun photos" oder "apply this patch!" enthalten. Im Anhang befindet sich der Wurm mit "scr"-Endung "(Bsp.: lol.scr, fun.scr), "exe-Endung" (Bsp: patch.exe, new.exe) oder als Zip (Bsp: data.zip, details.zip).

Sobald der Wurm auf einem System aktiviert wurde, durchsucht er die lokalen Festplatten nach Mailadressen und verschickt an diese Kopien von sich. Auf dem Rechner macht sich die Malware in der Datei windrv32.exe im Windows-Systemordner und in der Datei autostart.exe im Autostartordner breit. Außerdem versucht der Wurm auch das Trojanische Pferd "Surila" aus dem Internet herunterzuladen.

In der Registry werden folgende Einträge hinzugefügt:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunWinSPF = "windrv32.exe"
HKCUSoftwareMicrosoftWindowsCurrentVersionRunWinSPF = "windrv32.exe"
HKLMSoftwareMicrosoftWindowsCurrentVersionInternet SettingsUser AgentVersion = "FrankenShteiN"
HKCUSoftwareMicrosoftInternet ExplorerFuckedInst = "1"

Mittlerweile ist auch die Variante "MyDoom.W" im Umlauf. Diese unterscheidet sich von den Vorgängern lediglich durch andere Mailtexte und Namen der Dateianhänge. Außerdem versucht diese Variante auch eine aktuellere Version des Trojanischen Pferds Surila (Link herunterzuladen.

Weitere Infos zu den neuen Mydoom-Varianten finden Sie bei den Antiviren-Spezialisten, so beispielsweise auf den deutschsprachigen Seiten von Sophos (Link

Quelle : pc-welt.de

Gruß MC
Gruß MC

Link
Antwort schreiben
Im Zitat antworten
Beitrag abonnieren 
  Top