Kategorie

A B C D E
F G H I J
K L M N O
P Q R S T
U V W X Y
Z 0      

mydoom

ma mb mc md me mf mg mh mi mj mk ml mm
mn mo mp mq mr ms mt mu mv mw mx my mz

Mydoom

Mydoom, auch bekannt als Novarg, Mimail.R und Shimgapi, ist ein Computerwurm. Er befällt Microsoft Windows-Systeme und wurde das erste Mal am 26. Januar 2004 gesichtet. Es handelt sich um den bisher am schnellsten und weitest verbreiteten Computer-Wurm, der den bisherigen Rekord des Sobig-Wurms noch übertrifft (Stand Januar 2004).

Mydoom wird vorwiegend über E-Mail übertragen und gibt sich gegenüber dem Empfänger als "Übertragungsfehler bei der Mailzustellung" aus. Im Betreff der E-Mails tauchen Meldungen auf wie "Error", "Mail Delivery System", "Test", "Delivery Status Notification" oder "Mail Transaction Failed". In den deutschen Varianten kommen auch Betreffzeilen wie "Benachrichtigung zum Übermittlungsstatus (Fehlgeschlagen)" und ähnliche Meldungen vor.

An die E-Mail angehängt ist eine Datei mit dem Wurm. Wird der Anhang ausgeführt, installiert sich der Wurm im Windows-Betriebssystem. Dabei durchsucht der Wurm lokale Dateien sowie das Windows-Addressbuch des befallenen Rechners nach E-Mailadressen und versendet sich an diese. Weiterhin legt der Wurm eine Kopie seiner selbst im Ordner "Gemeinsame Dateien" des Peer-to-Peer Datentauschprogramms Kazaa ab.

Beim Versand der verseuchten Mails schließt der Wurm jedoch Zieladdressen von diversen Universitäten, wie die Rutgers Universität, das MIT, Stanford und UC Berkeley sowie verschiedene Firmen wie Microsoft und Symantec aus. Behauptungen aus früheren Berichten, der Wurm würde generell alle .edu-Addressen ausschließen, haben sich als falsch herausgestellt.

Die Original-Version des Wurms (Mydoom.A) infiziert Rechner auf zwei Arten:

  • Durch Einrichtung einer sog. "Backdoor" (engl. für "Hintertür"), die es erlaubt, den befallenen PC aus der Ferne zu bedienen (geschieht durch Ablage der Mydoom-eigenen SHIMGAPI.DLL-Datei im system32-Verzeichnis und anschließendem Aufruf als Unterprozess des Windows Explorers);
  • durch Vorbereitung einer sog. "denial of service"-Attacke gegen die Webseite der SCO Group, welche mit dem 1. Februar 2004 beginnt. Von einigen Virus-Analysten wurden jedoch Zweifel an der korrekten Funktionsweise der hierzu vorhandenen Funktionen erhoben.

Eine zweite Version des Wurms (Mydoom.B) addressiert auch die Microsoft-Webseite und blockiert den Zugriff auf die Webseiten von Microsoft sowie bekannten Herstellern von AntiViren-Programmen. Dadurch sollen die AntiViren-Programme daran gehindert werden, Viren-Updates sowie Programm-Updates herunter zu laden.

Erste Analysen liessen vermuten, dass Mydoom eine Variante des Mimail-Wurms sei. Es wurde vermutet, dass die gleichen Personen für die beiden Würmer verantwortlich sind. Die Schlussfolgerungen nachfolgender Analysen entkräfteten diese Vermutungen jedoch wieder.

Der Wurm beinhaltet die Nachricht "andy; I'm just doing my job, nothing personal, sorry,", was zu Spekulationen darüber führte, ob der Programmierer für die Erstellung des Wurms bezahlt wurde. Andere Spekulationen (insbesondere der SCO Group) gingen in die Richtung, dass der Wurm aus der Linux-/Open Source-Szene stamme, um gegen die von SCO (bisher unbewiesenen) Vorwürfe und damit in Zusammenhang stehenden Klagen vorzugehen, der Einsatz von Linux würde gegen Patente von SCO verstoßen. Wieder andere Spekulationen gehen davon aus, dass das Virus von so genannten UBE/UCE-Versendern in die Welt gesetzt wurde, um so eine große Anzahl von infizierten Rechner zum Versand von UBE/UCE nutzen zu können.

zeitlicher Ablauf

Obwohl Mydoom's denial of service-Attacke gegen die SCO Group erst am 1. Februar 2004 starten soll, ist die Webseite der SCO Group wenige Stunden nach Ausbruch des Wurms nicht mehr erreichbar. Es ist nicht bekannt, ob Mydoom dafür verantwortlich ist. Die Webseite der SCO Group war im Jahre 2003 bereits desöfteren Ziel verschiedener verteilter denial of service-Attacken, ohne dass Computerviren dafür verantwortlich waren.

  • 27. Januar 2004: Die SCO Group bietet 250.000 US-Dollar Belohnung für Informationen, die zur Ergreifung des Wurm-Programmierers führen. In den Vereinigten Staaten werden vom FBI und Secret Service Ermittlungen aufgenommen.

  • 28. Januar 2004: Eine zweite Version des Wurms wird entdeckt. Die erste E-Mail mit der neuen Variante (Mydoom.B) trifft gegen 14:00 Uhr UTC wiederum aus Russland ein. Die neue Version soll ab dem 3. Februar 2004 auch Microsoft attackieren. Mydoom.B blockiert auch den Zugriff auf die Webseiten von über 60 Antiviren-Herstellern sowie auf so genannte "Popup"-Werbefenster von Online-Marketingfirmen wie DoubleClick.

Sicherheitsexperten berichten, dass nunmehr fast jede fünfte eintreffende E-Mail virenverseucht ist.

  • 29. Januar 2004: Aufgrund von Fehlern im Programmcode des Mydoom.B-Wurms nimmt die Ausbreitungsgeschwindigkeit entgegen anderslautender Voraussagen ab. Microsoft setzt ebenfalls 250.000 US-Dollar Belohnung für Informationen zur Ergreifung des Programmierers aus.

  • 30. Januar 2004: Eine französische Variante des Wurms kursiert im Internet. Die Ursprungsmail wird nach Kanada zurückverfolgt.

  • 1. Februar 2004: Die erste verteilte denial of service-Attacke gegen die SCO Group beginnt. Die Server www.sco.com und www.sco.de sind bereits ab dem 31. Januar 2004, 17:00 Uhr UTC nicht mehr erreichbar. Allerdings ist der Webserver der SCO Group noch über Hostnamen wurden im DNS gelöscht.

  • 3. Februar 2004: Die zweite denial of service-Attacke gegen Microsoft beginnt. Aufgrund des Programmfehlers der B-Variante von Mydoom und der damit verbundenen geringeren Verbreitung halten sich die Angriffe jedoch im Rahmen und Microsoft kann seine Webseite weiter betreiben.

  • 6. Februar 2004: Ein neuer Computerwurm mit dem Namen Deadhat wird zum ersten Mal vereinzelt gesichtet. Der neue Wurm nutzt die von Mydoom eingerichtete Backdoor (engl. für "Hintertür") aus und befällt über diesen Weg Windows-Computer, die mit dem Mydoom-Wurm infiziert sind. Dabei deinstalliert er die vorhandenen Mydoom-Würmer, deaktiviert Firewall- und AntiViren-Software und versucht sich auf andere Windows-PC's weiter zu verbreiten. Mit Hilfe einer neu eingerichteten Backdoor können Angreifer beliebige Programme auf die von Deadhat befallenen Windows-Rechner hochladen und dort ausführen.

  • 7. Februar 2004: Die deutsche Seite von SCO, www.sco.de, ist wieder erreichbar. Die Hauptseite www.sco.com ist nach wie vor Offline.

  • 12. Februar 2004: Mydoom.A soll seine weitere Verbreitung programmgesteuert einstellen. Die von Mydoom.A eingerichtete Backdoor (engl. für "Hintertür") bleibt jedoch weiterhin offen.

  • 1. März 2004: Mydoom.B soll seine weitere Verbreitung programmgesteuert einstellen. Aber auch hier soll die Backdoor weiterhin offen bleiben.

  • 27. Juli 2004: Mydoom.M verbreitet sich wieder als Anhang in Error Mails. Er durchsucht die Festplatte nach Email Adressen. Versendet sich an diese und fragt bei großen Suchmaschinen nach weiteren Adressen in dieser Domäne an.

Weblinks

  • Beschreibung des BSI zum Mydoom-Wurm
  • Meldung "Tückischer Wurm bricht über MyDoom-Hintertür ein" von heise.de
  • [1]

Impressum

Datenschutzerklärung