Innerhalb nur weniger Stunden sind vier neue Varianten (S, U, V und W) des Mytob Wurms erschienen.

Alle haben Backdoor Trojaner Charakteristiken, sie öffnen eine Hintertür im Computer über die Server 19.xxor.biz (S, U und W Variante) und irc.blackcarder.net (MyTob.V). Auf diese Weise ermöglichen Sie ihrem Programmierer die Kontrolle über jeden durch MyTob infizierten Computer zu übernehmen.

Eine der gefährlichsten Eigenschaften dieses Wurms liegt in seiner Fähigkeit die Host Dateien zu manipulieren. So kann er den Zugriff auf Webseiten von Antivirenherstellern blockieren. Auf diese Weise wird ein infizierter Rechner nicht mehr in der Lage sein eine Aktualisierung herunter zu laden.

So verbreitet sich MyTob

– Er nutzt die bereits lange bekannte LSASS Verwundbarkeit aus. Sie wurde bereits im Microsoft Bulletin MS04-011 bekannt gegeben. http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

– Über öffentliche Ordner mit einfach zu überwindenden Passwörtern.

– Via eMail mit einem Dateianhang .bat, .exe, .pif, .scr oder .zip Datei. Der Dateianhang mit dem Wurm könnte Data, Doc, Document, File, Readme, Text oder Body heißen. (auch weitere Bezeichnungen sind möglich)

Er sendet sich an alle Adressen, die er im System in den Dateien mit .adb,.asp, .dbx, .htm, .php, .pl, .sht und .tbb Endung und im Windows Adressbuch finden kann.

Mytob sendet sich nicht an eMail Adressen, die z.B. das Word panda enthalten. So wollte er vermeiden entdeckt zu werden -wenn auch erfolglos.

Um zu verhindern, dass mehrere Kopien des Wurms zur selben Zeit auf dem System laufen erstellt er verschiedene Mutex. Die Version S erstellt die Mutex ggmutexk2, die U Variante erzeugt ggmutexk1. Variante V nutzt die Mutex H-E-L-L-B-O-T-2-BY-DIABLO und die W Variante von Mytob legt die Mutex H-E-L-L-B-O-T an.

Weil diese Würmer die Kontrolle über IT Systeme erlauben ist es nahe liegend, dass die Autoren durch eine weite Streuung versuchen ein Netzwerk zu infizieren, in dem alle Rechner zur selben Zeit kontrolliert werden können. Es würde ihnen gestatten weitere Malware zu installieren wie z.B. Keylogger oder Spyware und die infizierten Rechner könnten zum Versenden von Spam missbraucht werden.

Weitere Informationen erhalten Sie hier: http://www.pandasoftware.com/virus_info/encyclopedia