Die Firma TREND MICRO hat am 26. Januar um 13.47 Uhr (US Pacific Time) einen globalen Yellow Alert ausgelöst. Eine neue Variante des MIMAIL-Computerwurms wurde „in the wild“ entdeckt. Nach Analyse verschiedener Reports stufen die TrendLabs das Schadens- und Verbreitungspotenzial des Wurms als hoch ein. Der Massenmailing-Computerwurm hat die Fähigkeit, zufällige eMail-Betreffzeilen, Nachrichtentexte und auch Dateianhangsnamen zu generieren. Die Verbreitung erfolgt, wie auch bei anderen MIMAIL-Varianten, über eMail und das Simple Mail Transfer Protocol (SMTP). Zudem kann der Wurm auf dem betroffenen System als Hintertür (Backdoor) fungieren.
W32/Mydoom@MM, der auch unter dem Namen W32.Novarg.A@mm geführt wird, verbreitet sich über zwei Wege: Zum einen nutzt er eine eigene SMTP-Engine und pflanzt sich so per Mail fort, zum anderen nistet er sich im "Shared"-Folder von Kazaa ein und benutzt so auch die beliebte Tauschbörse, um sich möglichst schnell auf zahlreichen Rechnern breit zu machen. Dort gibt er sich die Namen winamp5, icq2004-final, activation_crack, strip-girl-2.0bdcom_patches, rootkitXP, office_crack oder nuke2004, meist mit einer ".exe"-Endung versehen.
Ganz groß raus will der Wurm am Sonntag kommen: Dann nutzt er die bis dahin befallenen Rechner, um eine Attacke auf die Site des Unternehmens SCO zu starten. Der Email-Text kann beispielsweise eine dieser drei Varianten enthalten:
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available
Wenn die angehängte Datei ausgeführt wird, öffnet der Wurm das Textprogramm Notepad und zeigt einen wahllosen und sinnleeren Text an. Der Virus versendet sich in unterschiedlichen Email-Anhängen die als .exe-, . pif-, .cmd-, .scr- oder in einem ZIP-Archiv auftreten können. Das Attachement erscheint dabei mit dem Icon einer Windows TXT-Datei. Zudem öffnet der Wurm den DTCP-Port 3127, über den weitere Befehle erhalten werden können.
Um Ihren PC vor Würmern und Viren zu schützen, empfiehlt es sich immer, auch bei E-Mails von vermeintlich bekannten bzw. vertrauenswürdigen Absendern, zu prüfen, ob der Text der Nachricht auch zum Absender passt und ob die Anlage (Attachment) auch erwartet wurde.
Außerdem ist es ratsam, den Versand / Empfang von ausführbaren
Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
Wir empfehlen Ihnen Ihre Virendefinitionen upzudaten bevor Sie E-Mails abrufen.
Auf den Seiten von ZDNet ist ein kostenloses Programm um den Wurm zu erkennen und zu entfernen. Ebenso finden Sie Informationen auf den Seiten von Symantec (Norton Antivirus).
TREND MICRO löst weltweiten Yellow Alert aus: Wurm MIMAIL.R, auch unter den Namen MyDoom oder Novarg.A bekannt, verbreitet sich per eMail
