News : Wurm-Variante MyDoom.B aufgetaucht

, 34 Kommentare

Im Laufe des Tages ist eine neue Version des sich in Rekordzeit verbreitenden MyDoom Wurms aufgetaucht, welcher sinnvollerweise MyDoom.B getauft wurde. Er blockiert den Aufruf der Websites zahlreicher Antivirensoftware-Hersteller sowie Windows Update und attackiert ab dem 3. Februar neben SCOs auch Microsofts Server.

Während der ursprüngliche MyDoom-Wurm ab nächsten Sonntag lediglich die Website von SCO attackieren wird, zielt die neue Variante somit ab dem 3. Februar zusätzlich zu SCO auf ein weiteres beliebtes Opfer der Cracker-Szene.

Das Blockieren diverser Websites der namhaftesten Viren-Bekämpfer erreicht MyDoom.B durch simple Einträge in der sogenannten Hosts-Datei, in welcher jeder Domain eine IP-Adresse fest zugeordnet werden kann. Finden die für das Auflösen eines Domain-Namens in eine IP-Adresse zuständigen Betriebssystem-Routinen dort einen passenden Eintrag, wird erst gar kein Nameserver kontaktiert. Setzt man die Einträge also auf sinnlose IP-Adressen wie beispielsweise 127.0.0.1, was grundsätzlich der lokale Computer ist, wird das Aufrufen der Domains logischerweise fehlschlagen. Kurioserweise wird auch der Zugriff auf die Domains einiger großer Werbe-Netzwerke blockiert, sodass eine politische Motivation des Programmierers kaum von der Hand zu weisen ist.

Eine weitere hinterhältige bzw. vom technischen Standpunkt aus betrachtet clevere Idee ist, dass MyDoom.B sich nun als explorer.exe unter C:\Windows\System einnistet, sodass man diesen Prozess im Task-Manager anhand des Namens nicht von dem stets präsenten Windows Explorer Prozess unterscheiden kann. Einige Antivirensoftware-Hersteller haben jedoch bereits reagiert und neue Informationen bzw. Signaturen zum Download bereitgestellt, darunter Symantec, Network Associates und TrendMicro.

Ist der Computer jedoch erst einmal befallen, wird man einige Probleme haben, schließlich lassen sich dann keine Signatur-Updates mehr von den offiziellen Websites der Hersteller laden, wovon auch die automatischen Update-Routinen betroffen sein dürften. Es kann sich glücklich schätzen, wer Windows als normaler Benutzer und nicht als Administrator verwendet, denn mit diesen eingeschränkten Rechten ist unter anderem das Editieren der Hosts-Datei schlicht nicht möglich. Dies dürfte jedoch nur auf einen extrem niedrigen Anteil der Windows-Installationen zutreffen, weil standardmäßig jedes Benutzerkonto Administrator-Rechte hat.

Update

Mittlerweile gibt es ein interessantes Dokument, welches detailliert den Quellcode des Wurms untersucht. Unter anderem wird dort erwähnt, dass auch beim Test des Wurms in der Praxis keinerlei Angriff auf die SCO-Server erfolgt, sondern lediglich versucht wurde, die IP-Adresse dieser Domain ausfindig zu machen. Zudem scheint MyDoom ziemlich wahllos den Inhalt lokaler Dateien nach allem zu durchsuchen, was eventuell mit etwas Phantasie ein Domain-Name sein könnte, um daraufhin Kontakt zu unter dieser Domain beheimateten E-Mail-Servern zu suchen. Sollte sich dieses erste Testergebnis bewahrheiten, wäre dies der perfekte Nährboden für Spekulationen, dass jemand durch die bewusst fehlerhafte Implementierung einer DoS-Attacke die Ermittler auf die falsche Fährte führen wollte.