Auch wenn die klassischen Viren gerade wieder ihre Rückkehr planen, dominieren immer noch die Mass-Mailing-Würmer die Schädlingsszene. Derzeit macht gerade wieder eine Mytob-Variante von sich reden, die sich laut einer Warnung des Spezialisten für E-Mail-Sicherheit IronPort ziemlich stark verbreitet. Symantec stuft das Verbreitungspotenzial allerdings mit Stufe 2 von 5 eher gering ein. Dennoch hat es der Mytob.HJ/HI getaufte Wurm in sich. Nach der Infektion eines Systems versucht er darauf laufende Sicherheitssoftware und andere Prozesse zu deaktivieren. Das allein ist nicht neu und probierten auch schon seine Vorgänger. Dass er dies aber anhand einer Liste mit mehr als 500 Einträgen verschiedener Programmnamen tut, ist ungewöhnlich.
Darüberhinaus verbiegt Mytob.HJ auch noch die HOSTS-Datei, um zu verhindern, dass der Anwender beziehungsweise seine Software Kontakt mit bestimmten Webseiten aufbauen kann, etwa kaspersky.com, symantec.com, sophos.com, mcafee.com, virustotal.com und anderen. Zwar versucht der Wurm das auch für die Domain microsoft.com, seit Anfang der Woche ist aber bekannt, dass derlei Manipulationen wirkungslos sind, da bei Aufruf von Microsoft-Seiten und Nutzung der DNSAPI Windows die Einträge in der etc/hosts ignoriert und nach wie vor DNS-Lookups durchführt.
Außerdem platziert der Schädling eine Backdoor auf dem System, über die sich der Rechner fernsteuern lässt. Für seine Weiterverbreitung nutzt er seine eingebaute SMTP-Engine, um sich im Anhang einer Mail zu verschicken.
Der ganze ArtikelQuelle :
www.heise.de
