Wurm-Attacke gegen Microsoft zeigt keine Wirkung
Der von MyDoom.B durchgeführte Angriff gegen www.microsoft.com scheint ins Leere zu laufen. Offensichtlich hat sich MyDoom.B doch nicht so stark verbreitet wie zunächst angenommen.
Der von MyDoom.B durchgeführte Angriff gegen www.microsoft.com scheint ins Leere zu laufen. Anders als bei www.sco.com lassen sich die Seiten ohne Probleme abrufen.
Nach Angaben von Netcraft haben die Redmonder ohnehin bereits am gestrigen Montag erste Vorsorgemaßnahmen getroffen. Unter anderem hat man die Zeiten der Nameservereinträge heruntergesetzt, nach denen die Zurodnung eines Namens zu einer IP-Adresse abläuft (Time To Live, TTL). Ursprünglich waren 60 Minuten definiert, die nun auf fünf Minuten reduziert wurden. Damit erhöht sich zwar marginal der Verkehr für DNS-Anfragen, sollte der Wurm aber doch erste Wirkung zeigen, sind Änderungen in der Netzstruktur schneller wirksam. Microsoft kann dann Anfragen an die Webserver schneller umlenken; beispielsweise sind Teile der Webpräsenz auf den Dienstleister Akamai ausgelagert, der weltweit mehrere Server-Cluster für www.microsoft.com betreibt.
Ob der Wurm überhaupt so starke Verbreitung gefunden hat wie sein Bruder MyDoom.A, ist fraglich. In den Statistiken taucht er so gut wie nie auf, was aber auch daran liegen kann, das beide Varianten einfach zusammengefasst werden. In den Statistiken von Trend Micro taucht MyDoom.B gerade mal mit einer Infektion weltweit auf -- MyDoom.A hat demnach über 700.000 PCs befallen. Das US-CERT warnt unterdessen in einer E-Mail vor der starken Verbeitung. Nach Angaben von Andreas Marx, Virenexperte von AV-Test.de, beruht dies aber auf einem Missverständnis, bei der die beiden Versionen verwechselt wurden.
Obwohl MyDoom.B die lokale hosts-Datei manipuliert, was bis zum gestrigen Montag vor dem Start des Angriffs auf die Microsoft-Site den Verbindungsaufbau von PCs zu einigen Webseiten unter anderem auch www.microsoft.com verhinderte, ist der Wurm seit heute in der Lage Kontakt, zu www.microsoft.com aufzunehmen: Mit dem Start des Angriffes macht er die Manipulation der Datei rückgängig.
Siehe dazu auch: (dab)
- MyDoom vs. SCO = 1:0 auf heise Security
- MyDoom/Novarg -- Tipps zur Wurmkur und weitere Details auf heise Security
