Neue Variante des Wurms MyDoom/Novarg zielt auf Microsoft [Update]
Der Wurm MyDoom.B hat Microsoft zum Ziel und verhindert den Verbindungsaufbau zu Seiten von Antivirenherstellern.
Seit kurzem macht eine Variante des Wurms MyDoom die Runde, die die Hersteller von Antivirensoftware als MyDoom.B bezeichnen. Die Verbreitung scheint sich bisher noch in Grenzen zu halten. Anders als das Original attackiert MyDoom.B ab dem 1. Februar nicht nur die Webseite von SCO. Auch Microsoft ist nach Angaben von NAI als zusätzliches Ziel im Code des Wurms eingetragen. Symantec hingegen geht davon aus, dass nur Microsoft angegriffen wird.
Außerdem modifiziert der Abkömmling die lokale hosts-Datei befallener Rechner und verhindert damit den Verbindungsaufbau zu bestimmten Seiten. Unter anderem können Anwender nach einer Infektion die Seiten von Kaspersky, Symantec, NAI, McAfee, F-Secure, Sophos und Trend Micro nicht mehr aufrufen. Das Herunterladen der Removal-Tools ist dann nicht mehr möglich. Der Wurm öffnet weiterhin eine Backdoor, je nach Erfolg auf einem der Ports 1080, 3128, 8080 oder 1008. Die Datei, die sich auf dem PC einnistet, hat nun auch einen anderen Namen: statt "taskmon.exe" nennt sie sich "explorer.exe" und heißt damit genauso wie die Programmdatei des Windows-Explorers. Der Wurm residiert aber nicht im Windows-Verzeichnis, sondern in /Windows/system.
Obwohl der Wurm erst vor zwölf Stunden bei den Antivirenherstellern einging, liegen bereits neue Signaturen für die Virenscanner bei den meisten zum Download bereit. Die Removal-Tools waren aber bei Fertigstellung dieses Artikels noch bei keinem aktualisiert.
[Update]
Entfernung des Wurms
Einige Hersteller haben ihre Tools aktualisiert, die den Wurm auf befallenen Systemen entfernen können. Network Associates kostenloses Programm Stinger erkennt und entfernt nun MyDoom.B; NAI liefert dazu eine detaillierte Anleitung. Auch Trend Micros Damage Cleanup Engine (ehemals System Cleaner) erkennt und beseitigt MyDoom.B
Siehe dazu auch: (dab)
- Vireninfo W32.MyDoom.B@mm des BSI
- Vireninfo W32.MyDoom.B@mm bei Symantec
- Vireninfo W32/Mydoom.B@MM bei Network Associates
- Vireninfo Mydoom.B bei TrendMicro
- MyDoom/Novarg -- Tipps zur Wurmkur und weitere Details
- Neuer Wurm Novarg/Mydoom verbreitet sich schnell
- Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen
- Vireninfo W32.Novarg.A@mm des BSI
- Antiviren-Seiten von heise Security
