München, Hamburg, 19. Februar 2005 AVERT (Antivirus and Vulnerability Emergency Response Team), das Virenforschungs-labor von McAfee (NYSE: MFE), stuft die beiden entdeckten Internet-Wurm-Varianten W32/Mydoom.bc@MM (auch Mydoom.bc) und W32/Mydoom.bd@MM (auch Mydoom.bd) als besonders gefährlich ein. Bis jetzt konnte das AVERT seit gestern nachmittag Ortszeit (1pm Pacific time / 22.00 Uhr MEZ) eine Verdopplung der aufgetretenen Fälle pro Stunde nachweisen. Die meisten Reports wurden derzeit in den USA gemeldet.
Beide Varianten des Wurms verbreiten sich über E-Mail und hängen eine Kopie von sich als Anhang an. Zusätzlich wird dann der Trojaner BackDoor-CEB.f runtergeladen und ausgeführt. Weiterhin werden auf dem infizierten Rechner verschiedene TCP-Ports geöffnet und Adressen durch Abfragen an gängige Suchmaschinen eingesammelt.
Charakteristika Mydoom.bc@MM und Mydoom.bd@MM
Beide neuen Varianten sind vorangegangenen Varianten sehr ähnlich und verfügt über folgende charakteristischen Elemente:
- Mass-Mailer-Wurm, der E-Mails über eine eigene SMTP-Engine versendet
- E-Mail-Adressen werden auf dem infizierten System gesucht, nach zusätzlichen Adressen sucht der Wurm über Suchmachinen im Internet.
- Die Absender-Adresse der E-Mails ist gefälscht
- Download des BackDoor-CEB.f-Trojaners
Der hauptsächliche Unterschied zwischen Mydoom.bc und Mydoom.bd ist die von den Urhebern des Virus programmierte Erscheinungsweise. Dadurch soll eine Entdeckung verhindert werden.
Anwendern empfiehlt McAfee, äußerst vorsichtig mit Mails unbekannter Herkunft zu sein und elektronische Nachrichten mit folgendem Inhalt ungelesen zu löschen:
- From: Gefälschte Absender-Adresse nicht in jedem Falle muss davon ausgegangen werden, das die Absenderadresse infiziert ist. Zusätzlich können falsche Alert-Messages eines Mailservers auftreten, die über eine vermeintliche Infizierung des Empfängers informieren wollen.
- Die Absender-Adresse kann durch eine aufgelesene E-Mail-Adresse gefälscht sein. Zusätzlich gibt es Varianten, die als Rückläufer (Bounce) gestaltet sind und folgende Adressen nutzen:
-- mailer-daemon@(target_domain)
-- noreply@(target_domain)
-- postmaster@(target_domain)
- Beim angezeigten Namen werden folgende Begriffe verwendet:
-- "Postmaster"
-- "Mail Administrator"
-- "Automatic Email Delivery Software"
-- "Post Office"
-- "The Post Office"
-- "Bounced mail"
-- "Returned mail"
-- "MAILER-DAEMON"
-- "Mail Delivery Subsystem"
- Beim Subject werden folgende Begriffe verwendet:
-- hello
-- hi
-- error
-- status
-- test
-- report
-- delivery failed
-- Message could not be delivered
-- Mail System Error - Returned Mail
-- Delivery reports about your e-mail
-- Returned mail: see transcript for details
-- Returned mail: Data format error
Beim Message Body werden Inhalte aus unterschiedlichen Zeichenketten generiert . Die genaue Vorgehensweise sieht vor, dass nach Ausführung der infizierten Datei diese sich in das Hauptverzeichnis von Windows kopiert. Der Wurm selbst installiert sich dabei als JAVA.EXE im Windows-Verzeichnis. Dies sieht wie folgt aus:
-- C:\WINDOWS\JAVA.EXE
Weiterhin wird die Datei SERVICES.EXE in das gleiche Verzeichnis abgelegt:
-- C:\WINDOWS\SERVICES.EXE
Danach werden folgende Registry-Einträge beim Start erstellt:
-- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "JavaVM" = %WinDir%\JAVA.EXE
-- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Services" = %WinDir%\SERVICES.EXE
-- HKEY_CURRENT_USER\Software\Microsoft\Daemon
-- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon
Durch die Ausführung von SERVICES.EXE werden auf dem Rechner verschiedene TCP-Ports geöffnet, um Verbindungen aufzubauen. Dieser Prozess verursacht auch Netzwerk-Traffic durch zufällig generierte IP-Adressen. Sobald eine weitere IP-Adresse mit demselben Backdoor-Trojaner gefunden ist, wird diese Adresse verschlüsselt und in einen File zincite.log geschrieben.
Weitere Informationen zu Mydoom.bc, Mydoom.bd sowie zu dem BackDoor-CEB.f Trojaner finden Sie in unserer Virus Information Library unter:
W32/Mydoom.bc@MM http://vil.nai.com/vil/content/v_131860.htm
W32/Mydoom.bd@MM http://vil.nai.com/vil/content/v_131861.htm
BackDoor-CEB.f http://vil.nai.com/vil/content/v_131340.htm
Die 4430DAT-Signaturen, welche die Erkennung und Entfernung der neuen Varianten erhält, wurden bereits gegen 1Uhr morgens (MEZ) bereitgestellt.
Diese Presseinformation sowie druckfähiges Bildmaterial finden Sie auch online unter: www.harvard.de.
Über McAfee
McAfee, Inc. mit Sitz in Santa Clara, Kalifornien, ist ein weltweit führender Anbieter von Intrusion Prevention- und Risiko-Management-Lösungen. Das Unternehmen liefert bewährte Sicherheitsprodukte und -dienstleistungen, die dabei helfen, miteinander in Konflikt stehende Prioritäten, die sich aus den Bedürfnissen der Unternehmen und ihren Sicherheitsanforderungen ergeben, wirksam in Einklang zu bringen. McAfee hilft Unternehmen, Behörden und Privatanwendern dabei, ihre Netzwerke und Computersysteme aktiv vor Angriffen und unternehmenskritischen Bedrohungen zu schützen. Das Ergebnis eines solchen Risiko-Management-Ansatzes: absolutes Vertrauen. Weitere Informationen erhalten Sie über www.mcafee.de.
Für weitere Informationen wenden Sie sich bitte an:
McAfee
Isabell Unseld
Ohmstr. 1
85716 Unterschleißheim
Tel: 089 / 37 07 - 0
Fax: 089 / 37 07 - 1199
E-Mail: isabell_unseld@mcafee.com
Harvard PR:
Jürgen Rast
Arno Glompner
Westendstraße 193-195
80686 München
Tel.: 089 / 53 29 57 - 0
Fax: 089 / 53 29 57 - 888
E-Mail:juergen.rast@harvard.de
arno.glompner@harvard.de
X