Kommunikationsnetz der Regierung trotzte Internet-Wurm Mydoom
Dem Kommunikationsnetz der Bundesregierung konnte der Wurm MyDoom wenig anhaben. Private Anwender sind aber durch Wurm-Varianten und öffentliche Exploits weiterhin gefährdet -- auch heute wieder gibt es beispielsweise neue Varianten.
Nach Angaben des Bundesinnenministeriums konnte der Wurm MyDoom dem Kommunikationsnetz der Bundesregierung wenig anhaben. Im Januar wurden an den Gateways des Informationsverbundes Bonn-Berlin (IVBB) 475.000 infizierte E-Mails erkannt und ausgefiltert. In 320.000 davon fanden die Scanner Mydoom.A -- MyDoom.B wurde ein einziges Mal registriert.
Im IVBB gibt es täglich 400 000 E-Mail-Bewegungen. Davon sind im Schnitt ein bis zwei Prozent infiziert. Durch den Wurm stieg die Zahl der befallenen E-Mails um das Zehnfache. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat sofort auf den Ausbruch des Schädlings reagiert und am 26. Januar Vorkehrungen zur Erkennung des Wurms getroffen. In der Folge blockten die Schutzsystems täglich 40 000 bis 80 000 Wurm-Mails ab.
Am heutigen 12. Februar stoppt MyDoom.A nach Angaben der Hersteller von Antivirensoftware glücklicherweise seine Verbreitung. Auf infizierten Systemen bleiben aber weiterhin die Hintertürchen offen. Darüber dringen die Würmer Deadhat, Doomjuice.A und neuerdings auch Doomjuice.B ein. Das Doomjuice-Pärchen startet von befallenen PCs Denial-of-Service-Attacken gegen www.microsoft.com, in dem sie ständig HTTP-Anfragen an den Server senden. Anders als Doomjuice.A simuliert die B-Variante dabei einen Internet Explorer, um mögliche Schutzmaßnahmen von Microsoft zu unterlaufen.
Mittlerweile kursieren auch schon die ersten Programme öffentlich, mit denen man Zugriff auf MyDoom-befallene Rechner erhält. Auf Bugtraq erschienen zwei Postings mit Links und Quellcode dafür. Damit ist es ein leichtes, weitere Würmer zu programmieren, die über die Backdoors eindringen können. Anwender die bisher ihre Rechner noch nicht überprüft haben, sollten dies jetzt nachholen. Entsprechende Removal-Tools zu Beseitigung des Wurms stellen die Hersteller bereit.
Siehe zu Doomjuice auch:
- Beschreibung Doomjuice.A von Symantec
- Beschreibung Doomjuice.A von NAI
- Beschreibung Doomjuice.A von Trend Micro
Zu Informationen ĂĽber Novarg/MyDoom und ĂĽber den Schutz siehe auch: (dab)
- MyDoom/Novarg -- Tipps zur Wurmkur und weitere Details
- Symantecs Removal-Tool fĂĽr MyDoom auf den ftp-Servern von heise Security
- MyDoom-Removal-Tool von Microsoft
- Vireninfo W32.Novarg.A@mm des BSI
- Antiviren-Seiten von heise Security
- Neue Variante des Wurms MyDoom/Novarg zielt auf Microsoft
- Neuer Wurm Novarg/Mydoom verbreitet sich schnell
- Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen
- Neue Variante des Wurms MyDoom/Novarg zielt auf Microsoft
- Microsoft setzt Kopfgeld auf Urheber des MyDoom-Wurms aus
- MyDoom vs. SCO = 1:0
- Wurm-Attacke gegen Microsoft zeigt keine Wirkung
- TĂĽckischer Wurm bricht ĂĽber MyDoom-HintertĂĽr ein
- Vireninfo W32.Novarg.A@mm bei Symantec
- Vireninfo W32/Mydoom@MM bei Network Associates
- Vireninfo Novarg/Mydoom bei F-Secure
- Vireninfo Mimail.R/Mydoom/Novarg bei TrendMicro
- Vireninfo W32.MyDoom.B@mm des BSI
- Vireninfo W32.MyDoom.B@mm bei Symantec
- Vireninfo W32/Mydoom.B@MM bei Network Associates
- Vireninfo Mydoom.B bei TrendMicro
- Vireninfo W32.HLLW.Deadhat von Symantec
- Vireninfo W32.HLLW.Deadhat von NAI
- Vireninfo Vessert F-Secure
