Würmer ohne Ende: „Sweet Nancy“ und „Mydoom“ sind auf der Jagd

Das Jahr 2004 ist gerade einmal vier Wochen alt, und schon sind die ersten „Infektionswellen“ über die Welt hinweggefegt. Die Rede ist nicht von der Geflügelpest oder Grippeviren, sondern von „E-Mail-Würmern“, mit denen findige Scherzbolde Rechner infizieren. Der jüngste Vertreter dieser Kategorie heißt Mimail.Q und wurde gestern zum ersten Mal in freier Wildbahn beobachtet.

Vorsicht ist geboten, wenn im E-Mail-Postfach eine Nachricht mit der Betreffzeile „Hi sweet Nancy“ auftaucht. Im Text schwärmt ein gewisser Frank davon, wie toll doch die letzte Liebesnacht mit Nancy gewesen sei und verweist auf „scharfe“ Fotos von diesem Abenteuer. Besagte Bildchen, so Frank, lägen der Mail bei, in Form eines Attachments mit dem Namen „photos.scr“.

Natürlich handelt es sich um keine heißen Aufnahmen, sondern um einen „Wurm“, genauer gesagt eine polymorphe Version des Mimail-Virus, der im vergangenen Sommer zum ersten Mal auftrat. Sobald ein unvorsichtiger User das Programm startet, plündert es die E-Mail-Adressbücher auf dem Gastrechner und versendet sich selbst mithilfe einer integrierten SMPT-Engine (Simple Mail Transfer Protocol) an die Adressaten, die dort aufgeführt sind.

Das Perfide an Mimail.Q ist, dass es sich um einen polymorphen Virus handelt, das heißt er verändert sich jedes Mal, sobald er einen Rechner befallen hat. Das erschwert es traditioneller Antiviren-Software, den Schädling zu erkennen und eliminieren. Nach Angaben des Managed-Services-Providers Message Labs wird Mimail.Q von mehreren Orten in den USA, Australien und den USA aus verschickt.

Während Mimail.Q noch nicht flächendeckend auftritt, lässt sich das von „W32/Mydoom“ nicht behaupten. Den Mass-Mailer stoppte Message Labs ebenfalls erstmals am 26. Januar. Mittlerweile hat das Unternehmen in nur 20 Stunden mehr als 1,2 Millionen Kopien abgefangen. Damit hat Mydoom den bisherigen Rekordhalter SoBig.F entthront. Der Virus, der vermutlich aus Russland stammt, verbreitet sich via E-Mail, kopiert sich jedoch auch in alle Verzeichnisse, die das Peer-to-Peer-Programm Kazaa nutzt.

Nach Angaben von Message Labs lassen erste Analysen vermuten, dass Mydoom eine Verbindung zum TCP-Port 3127 herstellt. Das, so der Anbieter von Sicherheitsdiensten, lässt darauf schließen, dass der Wurm eine Komponente enthält, mit der sich Angreifer Zugang zu den befallenen Systemen verschaffen könnten. Als Transportmedium nutzt der Virus angehängte Dateien der Typen.exe, .pif, .cmd oder .scr. Es traten jedoch auch Versionen auf, die als ZIP-Files getarnt waren.

Wie Sophos, ein Hersteller von Antiviren-Software, mitteilt, wurde Mydoom vermutlich entwickelt, um einen Denial-of-Service-Angriff gegen SCO zu starten. SCO machte sich in den vergangenen Wochen durch seine Attacken auf Linux und durch Drohungen, gegen Anbieter und Anwender des Open-Source-Betriebssystems zu klagen, äußerst unbeliebt. Bei einem Denial-of-Service-Angriff überfluten viele Rechner zeitgleich einen Server oder die Serverfarm des „Opfers“ mit Anfragen, bis der Zielrechner gewissermaßen in die Knie geht.

Abwehren lassen sich solche Attacken beispielsweise mithilfe von Lastausgleichssystemen (Load Balancing) oder Web-Switches. Sie verteilen die Arbeitslast gleichmäßig auf die Firewalls und Server. Zusätzlich sind in ihnen Filterfunktionen und Mechanismen eingebaut, mit denen sich IP-Verkehrsströme lenken und gegebenenfalls blockieren lassen.

Hier noch zwei Links zu Institutionen, die Informationen zur IT-Sicherheit anbieten:

das Bundesamt für Sicherheit in der Informationstechnik

das CERT-Koordinationszentrum der Carnegie Mellon University.