Tückischer Wurm bricht über MyDoom-Hintertür ein

Der bislang nur vereinzelt gesichtete neue Wurm W32.HLLW.Deadhat alias Vesser bricht über die von MyDoom.A und MyDoom.B geöffneten Hintertürchen ein. Auf befallenen Systemen setzt er sich dann selbst fest, in dem er vorhandene MyDoom-Würmer deinstalliert und versucht Firewalls sowie Antivirenscanner zu deaktivieren. Anschließend verbreitet er sich weiter zu anderen mit MyDoom infizierten Windows-Rechnern, die Backdoors auf den Ports 3127, 3128, und 1080 geöffnet haben. Entsprechende Ziele findet er durch sequenzielles Erhöhen der eigenen IP-Adresse. Zudem kopiert er sich in die Verzeichnisse des File-Sharing-Programms Soulseek und in Netzwerkfreigaben.

Auch Deadhat baut wieder Hintertüren ein, diesmal auf Port 2766. Verbindet sich ein Angreifer auf diesen Port, kann er Programme hochladen, die der Wurm ausführt -- denkbar sind weitere Trojaner, Keylogger und Proxies. NAI will auch Befehlscode gefunden haben, um sich automatisch mit IRC-Channels zu verbinden. Weitere Details zu dem Wurm sind den Beschreibungen der Antivirenhersteller zu entnehmen. Einige Hersteller haben ihre Viren-Signaturen bereits aktualisiert, leider nicht alle. Beispielsweise bietet Symantec seine Signaturen per LiveUpdate erst zum 11. Februar an. Auch NAI hält es nicht für nötig, seine DAT-Files früher bereit zu stellen.

Der neue Wurm dürfte sicher nicht der erste und letzte Schädling sein, der mit MyDoom infizierte Rechner befällt. Glaubt man den Angaben der Antivirenhersteller, sind weltweit mehrere Hunderttausend PCs mit dem Wurm verseucht. Viele Anwender merken nicht einmal, dass ihr Rechner betroffen ist und treffen keine Gegenmaßnahmen. Damit bietet sich für Spammer und Cracker eine ideale Plattform, um weitere Angriffe vorzubereiten und durchzuführen.

Siehe dazu auch: (dab)

• W32.HLLW.Deadhat von Symantec
• W32.HLLW.Deadhat von NAI
• Vessert F-Secure