Gratis: Removal-Tools gegen Mydoom zum Download

Einen Tag nach seinem ersten Auftreten stehen jetzt kostenlose Removal-Tools gegen Mydoom zum Download bereit: Der Antiviren-Spezialist Bitdefender bietet ein rund 60 KByte großes Removal-Tool zum kostenlosen Download an. McAfee hat seine Antiviren-Freeware AVERT Stinger ebenfalls aktualisiert und mit Erkennungs- und Entfernungsroutinen für Mydoom ausgestattet.

Die führenden Hersteller von Antiviren-Software haben für Ihre Programme inzwischen Updates fertig gestellt.

W32/Mydoom@MM, der auch unter dem Namen W32.Novarg.A@mm geführt wird, verbreitet sich über zwei Wege: Zum einen nutzt er eine eigene SMTP-Engine und pflanzt sich so per Mail fort, zum anderen nistet er sich im „Shared“-Folder von Kazaa ein und benutzt so auch die beliebte Tauschbörse, um sich möglichst schnell auf zahlreichen Rechnern breit zu machen. Dort gibt er sich die Namen winamp5, icq2004-final, activation_crack, strip-girl-2.0bdcom_patches, rootkitXP, office_crack oder nuke2004, meist mit einer „.exe“-Endung versehen.

Ganz groß raus will der Wurm am Sonntag kommen: Dann nutzt er die bis dahin befallenen Rechner, um eine Attacke auf die Site des Unternehmens SCO zu starten. Er durchsucht zunächst die PCs, auf denen er sich eingenistet hat, nach Dateien mit folgenden Dateierweiterungen:

• wab
• adb
• tbb
• dbx
• asp
• php
• sht
• htm
• txt

Aufgrund der starken Verbreitung ist die Risikoeinschätzung des Wurms auf High-Outbreak angehoben worden Betreff-Zeile und Email-Text werden von dem hochgefährlichen Wurm zufällig gewählt.

Der Email-Text kann laut NA beispielsweise eine dieser drei Varianten enthalten:

• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• The message contains Unicode characters and has been sent as a binary attachment.
• Mail transaction failed. Partial message is available

Wenn die angehängte Datei ausgeführt wird, öffnet der Wurm das Textprogramm Notepad und zeigt einen wahllosen und sinnleeren Text an. Der Virus versendet sich in unterschiedlichen Email-Anhängen die als .exe-, . pif-, .cmd-, .scr- oder in einem ZIP-Archiv auftreten können. Das Attachement erscheint dabei mit dem Icon einer Windows TXT-Datei. Zudem öffnet der Wurm den DTCP-Port 3127, über den weitere Befehle erhalten werden können.