Hochkonjunktur in der Virenküche: Laut Trend Micro, Hersteller von IT-Sicherheits-Software, ist seit heute ein neuer Wurm im Umlauf, der sich speziell in Deutschland, Frankreich, Spanien und Österreich stark verbreiten soll. Das Schadens- und Verbreitungspotenzial wurde von Trend Micro hoch eingestuft. Es wurde ein gelber Alarm ausgelöst.
Dabei nutzt der Mytob.MX-Wurm wie viele andere Würmer, eine eigene SMTP-Engine. Somit verbreitet sich der Schädling auch ohne Mail-Programme wie Outloook. Er verschickt sich selbst als Anhang und "droppt" eine Datei namens "SYST.EXE", die als "TROJ_MONURL.D" erkannt werden soll, in das Windows-Verzeichnis. TROJ_MONURL.D wiederum schreibt sich laut Trend Micro in die Registrierung.
Verbreitung nicht nur über Mails
Weitere Mail-Adressen soll er unter anderem aus dem temporären Internetverzeichnis und dem Windows Adressbuch (WAB) beziehen. Des weiteren sollen im Netzwerk nach freigegebene Ordner gesucht werden, in die sich der Wurm selbständig hineinkopiert.
Weiterhin sollen auch zufällig generierte IP-Adressen dafür sorgen, dass der Wurm sich schnellstmöglich verbreitet. Wird eine valide Adresse gefunden, kopiert sich der Wurm in - falls vorhanden - die standardmäßig freigegebenen Ordner. Sind die Ordner Passwort-geschützt werden die Account-Details des aktuell eingeloggten Windows-Users dazu verwendet in den Ordner einzudringen.
Der Unruhestifter soll auch etwaige Ports öffnen um sich zum "Internet Relay Chat" (IRC) zu verbinden und dort auf Instruktionen zu warten. Nachdem er einem bestimmten Channel beigetreten ist haben böswillige Nutzer angeblich die Möglichkeit den infizierten Rechner über den Wurm fernzusteuern. Und würde das nicht schon genug Instabilität verursachen, macht der Wurm den eigenen Rechner auch noch zu einem FTP-Server, von dem beliebig Dateien herunter geladen werden können, ohne das der Besitzer davon Wind bekommt. Auch der Upload soll möglich sein.
Vorsichtig sein
Betreffzeilen können wie fogt lauten:
DETECTED Online User Violation, Important Notification, MEMBERS SUPPORT, Notice Account limitation, Security Measures, Vjsqsjajrlwtl, WARNING MESSAGE YOUR SERVICES NEAR TO BE CLOSED, You have successfully updated your password, Your Account is Suspended, Your Account is Suspended For Security Reasons, Your password has been successfully updated, Your Password has been updated
Meldung empfehlen
News
