Ein neuer E-Mail-Wurm verbreitet sich nach Angaben von Anti-Viren-Spezialisten derzeit rasant im Internet. Der von den Herstellern von Anti-Viren-Software als "Mydoom" "Mimail.r" oder "Novarg" bezeichnete Wurm verstopft die Netzwerke und öffnet Angreifern möglicherweise eine Hintertür auf den befallenen Rechnern. Wir der Anhang zu einer harmlos aussehenden E-Mail geöffnet, dann startet ein Programm, das in 30 Sekunden rund 100 E-Mails an Adressen im E-Mail-Verzeichnis versendet. Betroffen sind die Windows-Betriebssysteme von Microsoft.
"Mydoom" gibt sich technisch
Der Angriff begann am Montagnachmittag, wie Vincent Gullotto von Networks Associates sagte. Er habe sich dann schnell auf den ganzen Planeten ausgeweitet. Und die Anti-Viren-Firma Symantec erklärte, der Wurm scheine auch die Tastatureingaben zu protokollieren. So könnten Passwörter erspäht werden. Im Gegensatz zu früheren Viren werbe das Schadprogramm nicht mit Bildern von Stars oder Nacktfotos, sondern gebe sich ganz technisch, sagt Steve Trilling von Symantec. "Diese Nachricht enthält Unicode-Zeichen und wurde als binärer Anhang verschickt", heißt es in der E-Mail.
Ein Microsoft-Sprecher erklärte, der Wurm scheine keine Sicherheitslücke auszunutzen, sondern werde allein von den Nutzern weiterverbreitet. Für das E-Mail-Programm Outlook von Microsoft gibt es einen Patch, der die Nutzer generell vor dem Öffnen unbekannter Anhänge warnt.
"Mydoom" hat sich am Dienstag auch in Deutschland mit "blitzartiger" Schnelligkeit im Internet verbreitet. "Inzwischen dürfte es fast jeden Internetnutzer getroffen haben", sagte der Karlsruher Virenexperte Christoph Fischer der dpa. "Mydoom hat mittlerweile sogar den Wurm Sobig.F überrundet, der bislang als Spitzenreiter unter den Computerschädlingen galt." Auf den größeren Servern, die den Webverkehr regeln, habe der Schädling bereits größere Staus verursacht. Der E-Mail-Wurm wird von Experten als besonders schädlich eingestuft.
"Viele unserer Kunden haben berichtet, dass bereits mehrere 10.000 Angriffe gestoppt worden sind", sagte Toralv Dirro, Viren-Experte von Network Associates. Der Wurm hatte sich zunächst vorwiegend in den USA verbreitet. Innerhalb von 24 Stunden hatte "Mydoom" rund 300.000 Rechner befallen. In den nächsten Tagen werde der Wurm auch in Deutschland voraussichtlich den Versand von E-Mails verzögern, sagte Fischer.
"W32/Dumaru" sammelt Daten
Diverse Antiviren-Spezialisten, darunter Messagelabs, Sophos und Kaspersky Labs, warnen außerdem vor einem neuen Wurm, der derzeit im Internet kursiert. Der Wurm wurde auf den Namen "W32/Dumaru" getauft und existiert bereits in mehreren Unterformen. Der Wurm stiehlt von allen infizierten Rechnern die Passwörter und zeichnet die Tastatureingaben des Anwenders auf.
Die gesammelten Daten werden in einer Log-Datei auf der Festplatte aufgezeichnet und an den Programmier des Wurms gesendet. Außerdem öffnet der Wurm die beiden Ports 2283 und 10.000 und erwartet Remote-Instruktionen des Angreifers.
Für seine Weiterverbreitung sorgt der Wurm über seine eigene Mail-Engine. Er durchforstet den infizierten Rechner nach Mail-Adressen und verschickt anschließend an diese Adressen Kopien von sich.
So erkennen Sie "W32/Dumaru"
Die Absender-Adressen der infizierten Mails können sich unterscheiden, eine lautet beispielsweise FUCKENSUICIDE@HOTMAIL.COM. Im Betreff-Text steht "Important information for you. Read it immediately" und im Mail-Text "Here is my photo, that you asked for yesterday".
Der Wurm selber steckt im Zip-Anhang mit dem Namen "myphoto.zip", dessen Größe 17.613 Bytes ist. In der Zip-Datei ist eine Datei mit der Bezeichnung "myphoto.jpg(viele Leerzeichen).exe" enthalten. Die Dateigröße kann allerdings variieren, denn der Wurm weist einige polymorphe Charakteristiken auf. Die vielen Leerzeichen zwischen den Dateiendungen sollen beim angegriffenen User den Eindruck erwecken, es handele sich um eine harmlose Bild-Datei.
Einen Hinweis darauf, ob ein Rechner von dem Wurm befallen ist, liefert ein Blick in die Registry. Der Wurm trägt dort den Pfad "HKEY_LOCAL_MACHINE\Software\SARS" ein.
