Neuer Virus bläst zur Attacke auf SCO

Er ist erst einen Tag alt und hat es doch schon zu zweifelhaftem Ruhm gebracht: Zahlreiche Virenspezialisten warnen vor einem neuen Wurm namens W32/Mydoom@MM, der sich innerhalb der letzten 24 Stunden rasant verbreitet hat. Das Virenforschungslabor AVERT von Network Associates stuft den neuen digitalen Übeltäter als „besonders gefährlich“ ein. Das besondere an diesem Virus: Er nutzt die befallenen Rechner zu einer Attacke auf die Website von SCO, die am 1. Februar stattfinden soll.

Inzwischen bieten die Antiviren-Experten Bitdefender und McAfee kostenlose Tools zur Erkennung und Entfernung des Schädlings an.

Der neue Email-Wurm, der auch unter den Namen W32.Novarg.A@mm geführt wird, verfüge wie einige seiner Vorgänger über eine eigene SMTP-Engine und versende sich unter falschem Absendernamen an Emailadressen die er auf dem infizierten System vorfindet. Er durchsucht hier für Dateien mit folgenden Dateierweiterungen:

• wab
• adb
• tbb
• dbx
• asp
• php
• sht
• htm
• txt

Außerdem kopiere sich W32/Mydoom@MM in den Ordner von KaZaA (my shared Folder) unter dem Namen „activation_crack.scr“. Alternativ wählt er dort die Namen winamp5, icq2004-final, activation_crack, strip-girl-2.0bdcom_patches, rootkitXP, office_crack oder nuke2004, die auch mit einer „.exe“-Endung verpasst werden können.

Aufgrund der starken Verbreitung sei die Risikoeinschätzung des Wurms auf High-Outbreak angehoben und umgehend neue Signaturen bereitgestellt worden. Betreff-Zeile und Email-Text würden von dem hochgefährlichen Wurm zufällig gewählt.

Der Email-Text kann laut NA beispielsweise eine dieser drei Varianten enthalten:

• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• The message contains Unicode characters and has been sent as a binary attachment.
• Mail transaction failed. Partial message is available

Wenn die angehängte Datei ausgeführt wird, öffnet der Wurm das Textprogramm Notepad und zeigt einen wahllosen und sinnleeren Text an. Der Virus versendet sich in unterschiedlichen Email-Anhängen die als .exe-, . pif-, .cmd-, .scr- oder in einem ZIP-Archiv auftreten können. Das Attachement erscheint dabei mit dem Icon einer Windows TXT-Datei. Zudem öffnet der Wurm den DTCP-Port 3127, über den weitere Befehle erhalten werden können.