News

Neue Version des Internet-Wurms 'Doomjuice'

11.2.2004:


Neue Version des Internet-Wurms 'Doomjuice'
Kaspersky Labs informiert über eine neue Version des Internet-Wurms 'Doomjuice' – 'Doomjuice.b'. Das Prinzip dieser Malware unterscheidet sich nicht von seinem Vorgänger, der am 9.2.04 entdeckt wurde. Er führt einen Internet-Scan nach Computern durch, die mit den Würmern 'Mydoom.a' oder 'Mydoom.b' infiziert sind, erstellt eine Verbindung mit dem Computer über den offenen 'Mydoom' Port 3127 und versendet hierüber seine Kopie. Danach startet die Trojaner-Komponente von 'Mydoom' die erhaltene Datei.

Gleichzeitig ist das funktionale Ziel von 'Doomjuice.b' die DoS-Attacke auf die Website von Microsoft (www.microsoft.com). Er kopiert sich beim Öffnen in den System-Katalog von Windows unter dem Namen 'EGEDIT.EXE' und registriert die Datei im AutoExe Schlüssel des System-Registers. Der Wurm überprüft das Datum und führt eine DoS-Attacke mit Ausnahme folgender Daten aus: Die DoS-Attacke findet zwischen dem 8. und 12. eines jeden Monats, sowie in den Januarmonaten nicht statt. Für eine DoS-Attacke versendet der Wurm auf den 80sten Port der Site www.microsoft.com eine Vielzahl von Anfragen.

Dabei verwendet der Wurm eine für diese Art von Malware einzigartige Technologie der Generierung von Anfragen an den Server. Die Anfrage-Zeile imitiert das Anfrage-Format des populären Web-Brosers Internet Explorer. Somit wird ein Blockieren der infizierten Computer ausgeschlossen, da nicht ein einziges Netzwerk-Filtermittel die Anfrage eines gewöhnlichen Anwenders von einer durch den Wurm ersetzten Anfrage unterscheiden kann. Diese Funktion erhöht den destruktiven Effekt der DoS-Attacke durch den Wurm 'Doomjuice.b'. Eine weitere Verbreitung des Wurms könnte die Leistungsfähigkeit der Internet-Ressourcen von Microsoft in Frage stellen.

Eine Prozedur zum Schutz gegen 'Doomjuice.b' ist bereits in die Anti-Viren-Dateien von Kaspersky Anti-Virus aufgenommen.

Quelle:
http://www.kaspersky.com

^aufi^