NEWS / Neue Welle von Mytob-Würmern entdeckt

Der spanische Security-Spezialist Panda Software warnt vor neuen Varianten des Mytob-Wurms. Alle Migrationen (S, U und W) haben Backdoor-Trojaner-Charakteristiken und öffnen eine Hintertür im Computer über die Server "19.xxor.biz und "irc.blackcarder.net". Auf diese Weise ermöglichen sie ihrem Programmierer die Kontrolle über jeden infizierten Computer zu übernehmen.

Laut Panda ist die gefährlichste Eigenschaft des Wurms seine Fähigkeit die Host-Dateien zu manipulieren. So kann er den Zugriff auf Webseiten von Antivirenherstellern blockieren. Auf diese Weise ist ein infizierter Rechner nicht mehr in der Lage Aktualisierungen herunter zu laden. Mytob verbreitet sich via E-Mail mit einem Dateianhang (.bat, .exe, .pif, .scr oder .zip). Das Attachement mit dem Wurm kann den Namen Data, Doc, Document, File, Readme, Text oder Body haben und sendet sich an alle Adressen, die der Wurm im System findet.

Um zu verhindern, dass mehrere Kopien des Wurms zur selben Zeit auf dem System laufen, erstellt er verschiedene "Mutex" (Mutual Exclusion). Das Verfahren verhindert, dass nebenläufige Prozesse gleichzeitig auf Daten zugreifen und so unter Umständen inkonsistente Zustände herbeiführen. Die Version S erstellt die Mutex "ggmutexk2", die U-Variante erzeugt "ggmutexk1". Variante U nutzt die Mutex H-E-L-L-B-O-T-2-BY-DIABLO und die W-Variante von Mytob legt die Mutex H-E-L-L-B-O-T an.

Weil alle Migrationen die Kontrolle über IT-Systeme erlauben ist es nahe liegend, dass die Autoren durch eine weite Streuung versuchen ein Netzwerk zu infizieren, in dem alle Rechner zur selben Zeit kontrolliert werden können. Es würde ihnen laut Panda gestatten, weitere Malware wie Keylogger oder Spyware zu installieren. Weiters können die infizierten Rechner zum Versenden von Spam missbraucht werden.