Neue MyDoom-Migration im Umlauf

Tobias Huber
28 Kommentare

Der deutsche Antivirenspezialist H+BEDV Datentechnik warnt alle Anwender der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003 vor einer neuen Variante des MyDoom-Wurms. Im Gegensatz zu „konventionellen“ Viren verbreitet sich "MyDoom.ah/MyDoom.ai" nicht via E-Mail, sondern nützt eine offene Lücke im Internet Explorer.

Der Schädling öffnet den Port 1639 und ermöglicht so den Zugriff auf ein System. Dann kopiert sich der Wurm mit einem Zufallsnamen in das Systemverzeichnis, wobei die letzen zwei Zeichen des gewählten Namens immer "32" sind (xxx32.exe). Zum Abschluss versendet sich der Malicious-Code an alle Adressen, die er auf dem System findet. Der neue Virus nutzt eine kürzlich entdeckte Sicherheitslücke im Internet-Explorer betreffend IFRAMES.

Sobald eine diese E-Mails einen ungepatchten Rechner erreicht, wird der Internet Explorer angewiesen, den Wurm vom Ursprungssystem nachzuladen. Auf diese Weise ist die Infektionskette in Gang gesetzt, ohne dass dazu auch nur ein "Doppelklick" erforderlich ist. H+BEDV empfiehlt dringend, den Microsoft Security Patch BID 11515 zu installieren und ein Update der eingesetzten Antivirensoftware durchzuführen. Nur mit dem Service Pack 2 für Windows XP ist man davor gefeit, dass der Wurm-Code automatisch auf das System gelangt. Einen Patch für den Internet Explorer selbst gibt es bislang noch nicht — und in den nächsten Wochen wird wohl auch keiner erscheinen, denn für den Patch-Day für Monat November hat man keine entsprechende Abhilfe angekündigt.