MyDoom.C: Noch eine neue Variante

"MyDoom.C" führt einen Internet-Scan nach Computern durch, die mit den Würmern "MyDoom.a" oder "MyDoom.b" infiziert sind. Er erstellt eine Verbindung mit dem Computer über den offenen "MyDoom" Port 3127 und versendet hierüber seine Kopie. Danach startet die Trojaner-Komponente von "Mydoom" die empfangene Datei. Gleichzeitig ist das funktionale Ziel von "Doomjuice.b" die DoS-Attacke auf die Website von Microsoft (www.microsoft.com). Er kopiert sich beim Öffnen in den System-Katalog von Windows unter dem Namen "EGEDIT.EXE" und registriert die Datei im AutoExe Schlüssel des System-Registers. Der Wurm überprüft das Datum und führt eine DoS-Attacke mit Ausnahme folgender Daten aus: Die DoS-Attacke findet nicht zwischen dem 8. und 12. eines jeden Monats, sowie in den Januarmonaten statt. Für eine DoS-Attacke versendet der Wurm auf den 80sten Port der Site www.microsoft.com eine Vielzahl von Anfragen. Dabei verwendet der Wurm eine für diese Art von Malware einzigartige Technologie der Generierung von Anfragen an den Server. Die Anfrage-Zeile immitiert das Anfrage-Format des populären Web-Browsers Internet Explorer. Somit wird ein Blockieren der infizierten Computer ausgeschlossen, da nicht ein einziges Netzwerk-Filtermittel die Anfrage eines gewöhnlichen Anwenders von der durch den Wurm ersetzten Anfrage unterscheiden kann. Diese Funktion erhöht den destruktiven Effekt der DoS-Attacke. Eine weitere Verbreitung des Wurms könnte die Leistungsfähigkeit der Internet-Ressourcen von Microsoft in Frage stellen. Eine Prozedur zum Schutz gegen "Doomjuice.b" ist bereits in die Anti-Viren-Dateien von KasperskyR Anti-Virus aufgenommen. Mehr Informationen unter: Doomjuice.b.