Mail-Wurm Mytob beendet zahlreiche Sicherheitsprogramme

Auch wenn die klassischen Viren gerade wieder ihre Rückkehr planen, dominieren immer noch die Mass-Mailing-Würmer die Schädlingsszene. Derzeit macht gerade wieder eine Mytob-Variante von sich reden, die sich laut einer Warnung des Spezialisten für E-Mail-Sicherheit IronPort ziemlich stark verbreitet. Symantec stuft das Verbreitungspotenzial allerdings mit Stufe 2 von 5 eher gering ein. Dennoch hat es der Mytob.HJ/HI getaufte Wurm in sich. Nach der Infektion eines Systems versucht er darauf laufende Sicherheitssoftware und andere Prozesse zu deaktivieren. Das allein ist nicht neu und probierten auch schon seine Vorgänger. Dass er dies aber anhand einer Liste mit mehr als 500 Einträgen verschiedener Programmnamen tut, ist ungewöhnlich.

Darüber hinaus verbiegt Mytob.HJ auch noch die HOSTS-Datei, um zu verhindern, dass der Anwender beziehungsweise seine Software Kontakt mit bestimmten Webseiten aufbauen kann, etwa kaspersky.com, symantec.com, sophos.com, mcafee.com, virustotal.com und anderen. Zwar versucht der Wurm das auch für die Domain microsoft.com, seit Anfang der Woche ist aber bekannt, dass derlei Manipulationen wirkungslos sind, da bei Aufruf von Microsoft-Seiten und Nutzung der DNSAPI Windows die Einträge in der etc/hosts ignoriert und nach wie vor DNS-Lookups durchführt.

Außerdem platziert der Schädling eine Backdoor auf dem System, über die sich der Rechner fernsteuern lässt. Für seine Weiterverbreitung nutzt er seine eingebaute SMTP-Engine, um sich im Anhang einer Mail zu verschicken.

Anwender sollten beim Umgang mit Anhängen in Mails größte Vorsicht walten lassen; auch Mails von bekannten Absendern können im Attachment einen Wurm oder Virus enthalten, da die Schädlinge für ihre Verbreitung die Mail-Adressbücher befallener Systeme nutzen. Weitere Hinweise zum Schutz vor Viren und Würmern finden sich auf den Antiviren-Seiten von heise Security.

Siehe dazu auch: (dab)

• W32.Mytob.PI@mm, Wurmbeschreibung von Symantec