Zur Zeit verbreitet sich eine abgewandelte Variante des Wurms W32.Novarg.A@mm mit dem Namen W32.MyDoom.B@mm mit rasender Geschwindigkeit im Internet. Wie auch W32.Novarg versendet sich W32.MyDoom.B@mm nicht nur per Massenmailing, sondern nutzt auch die Tauschbörse Kazaa, um sich zu verbreiten.

Der Wurm macht sich eine Backdoor zu Nutze und verwendet die Ports 80, 1080, 3128, 8080, und 10080. Da er andere Programme und Skripte nachladen kann, ist er extrem gefährlich. Infizierte System sind an der Datei Ctfmon.dll im Windows-Ordner zu erkennen, ausserdem werden die Dateien Message im Temp-Ordner und Explorer.exe im Systemverzeichnis erstellt.

Auch beim Booten des PC's wird der Wurm ausgeführt. Die neue Variante zeichnet sich unter anderem dadurch aus, dass zahlreiche Internetseiten nicht mehr zugänglich sind, hiervon sind besonders Webseiten von Antiviren-Software betroffen. Am 1. Februar startet der Wurm eine DOS-Attacke gegen die Website SCO.com und am 3. Februar gegen Microsoft.com.

W32.MyDoom ist an seiner Dateigröße von 29 KB zu erkennen. Entsprechende Betreffszeilen und Erkennungsmöglichkeiten sind im Folgenden aufgelistet.

Betreffszeilen:

  • Returned mail
  • Delivery Error
  • Status
  • Server Report
  • Mail Transaction Failed
  • Mail Delivery System
  • hello
  • hi

Nachrichten:

  • sendmail daemon reported:
  • Error #804 occured during SMTP session. Partial message has been received.
  • Mail transaction failed. Partial message is available.
  • The message contains Unicode characters and has been sent as a binary attachment.
  • The message contains MIME-encoded graphics and has been sent as a binary attachment.
  • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment

Tauschbörsendateien:

  • icq2004-final
  • Xsharez_scanner
  • BlackIce_Firewall_Enterpriseactivation_crack
  • ZapSetup_40_148
  • MS04-01_hotfix
  • Winamp5
  • AttackXP-1.26
  • NessusScan_pro

Geblockte Internetseiten:

Wenn ihr noch mehr wissen wollt, klickt einfach auf den Quelle-Link. Auf der Symantec-Seite findet ihr weitere Informationen und Tipps, um euch zu schützen. Generell gilt natürlich: Keine unbekannten Anhänge öffnen, verdächtige Mails sofort löschen!