Seit Montag, 26. Juli bekannt, verbreitet sich der Internetwurm MyDoom.M per Massenmailing mit Hilfe einer integrierten SMTP-Engine. Die infizierten Meldungen kommen in Form von Spam-Warnungen oder Mailserver-Fehlermeldungen mit unterschiedlichen Betreffzeilen und enthalten im Anhang das Virenprogramm, entweder direkt oder als ZIP-Archiv.
MyDoom.M installiert auf den befallenen Windows-Systemen eine Backdoor auf TCP-Port 1034. Die Besonderheit: Nachdem der Wurm wie üblich in Adressbuch oder Browser-Cache eine E-Mail-Adresse zur Weiterverbreitung ermittelt hat, sucht er im Web gezielt nach weiteren Adressen der gleichen Mail-Domain - ausser die Domain ist wie beispielsweise hotmail, microsoft, sourceforge sowie diverse Virenhersteller in der Wurm-internen Ausnahmeliste enthalten. Dabei belastet er die Suchmaschinen merklich; beim Zugriff auf
Google und Lycos bekam man letzte Nacht oft nur eine Fehlermeldung.
Ein spezielles
Entfernungstool für MyDoom.M gibt es zum Beispiel beim Antivirenhersteller F-Secure.
(ubi)