DeadDog1
Seit kurzem macht eine Variante des Wurms MyDoom die Runde, die die Hersteller von Antivirensoftware als MyDoom.B bezeichnen. Die Verbreitung scheint sich bisher noch in Grenzen zu halten. Anders als das Original attackiert MyDoom.B ab dem 1. Februar nicht nur die Webseite von SCO. Auch Microsoft ist nach Angaben von NAI als zusätzliches Ziel im Code des Wurms eingetragen. Symantec hingegen geht davon aus, dass nur Microsoft angegriffen wird.
Außerdem modifiziert der Abkömmling die lokale hosts-Datei befallener Rechner und verhindert damit den Verbindungsaufbau zu bestimmten Seiten. Unter anderem können Anwender nach einer Infektion die Seiten von Kaspersky, Symantec, NAI, McAfee, F-Secure, Sophos und Trend Micro nicht mehr aufrufen. Das Herunterladen der Removal-Tools ist dann nicht mehr möglich. Der Wurm öffnet weiterhin eine Backdoor, je nach Erfolg auf einem der Ports 1080, 3128, 8080 oder 1008. Die Datei, die sich auf dem PC einnistet, hat nun auch einen anderen Namen: statt "taskmon.exe" nennt sie sich "explorer.exe" und heißt damit genauso wie die Programmdatei des Windows-Explorers. Der Wurm residiert aber nicht im Windows-Verzeichnis, sondern in /Windows/system.
Obwohl der Wurm erst vor zwölf Stunden bei den Antivirenherstellern einging, liegen bereits neue Signaturen für die Virenscanner bei den meisten zum Download bereit. Die Removal-Tools waren aber bei Fertigstellung dieses Artikels noch bei keinem aktualisiert.
Siehe dazu auch:
Außerdem modifiziert der Abkömmling die lokale hosts-Datei befallener Rechner und verhindert damit den Verbindungsaufbau zu bestimmten Seiten. Unter anderem können Anwender nach einer Infektion die Seiten von Kaspersky, Symantec, NAI, McAfee, F-Secure, Sophos und Trend Micro nicht mehr aufrufen. Das Herunterladen der Removal-Tools ist dann nicht mehr möglich. Der Wurm öffnet weiterhin eine Backdoor, je nach Erfolg auf einem der Ports 1080, 3128, 8080 oder 1008. Die Datei, die sich auf dem PC einnistet, hat nun auch einen anderen Namen: statt "taskmon.exe" nennt sie sich "explorer.exe" und heißt damit genauso wie die Programmdatei des Windows-Explorers. Der Wurm residiert aber nicht im Windows-Verzeichnis, sondern in /Windows/system.
Obwohl der Wurm erst vor zwölf Stunden bei den Antivirenherstellern einging, liegen bereits neue Signaturen für die Virenscanner bei den meisten zum Download bereit. Die Removal-Tools waren aber bei Fertigstellung dieses Artikels noch bei keinem aktualisiert.
Siehe dazu auch:
