Novarg

Mydoom, auch bekannt als Novarg, Mimail.R und Shimgapi, ist ein Computerwurm. Er befällt Microsoft-Windows-Systeme und wurde das erste Mal am 26. Januar 2004 gesichtet. Es handelt sich um den bisher am schnellsten und weitest verbreiteten Computer-Wurm, der den damaligen Rekord des Sobig-Wurms übertroffen hat.

Verbreitung

Mydoom wird vorwiegend über E-Mail übertragen und gibt sich gegenüber dem Empfänger als „Übertragungsfehler bei der Mailzustellung“ aus. Im Betreff der E-Mails tauchen Meldungen auf wie „Error“, „Mail Delivery System“, „Test“, „Delivery Status Notification“ oder „Mail Transaction Failed“. In den deutschen Varianten kommen auch Betreffzeilen wie „Benachrichtigung zum Übermittlungsstatus (Fehlgeschlagen)“ und ähnliches vor.

An die E-Mail angehängt ist die mit dem Computerwurm infizierte, ausführbare Datei. Wird der Anhang ausgeführt, installiert sich der Wurm im Windows-Betriebssystem. Danach durchsucht der Wurm lokale Dateien sowie das Windows-Adressbuch des befallenen Rechners nach E-Mail-Adressen und versendet sich an diese. Weiterhin legt der Wurm eine Kopie seiner selbst im Ordner „Gemeinsame Dateien“ des Peer-to-Peer Datentauschprogramms Kazaa ab.

Beim Versand der verseuchten Mails schließt der Wurm jedoch Zieladressen von diversen Universitäten, wie der Rutgers Universität, dem MIT, der Universität Stanford und der UC Berkeley sowie verschiedene AntiViren-Softwarehersteller wie Symantec oder McAfee aus. Aber auch an Microsoft wird keine Kopie versendet. Behauptungen aus früheren Berichten, der Wurm würde generell alle .edu-Adressen ausschließen, haben sich als falsch herausgestellt.

Die Original-Version des Wurms (Mydoom.A) erstellte folgende Änderungen auf infizierten Rechnern:

• durch Einrichtung einer sog. Backdoor (engl. für „Hintertür“), die es erlaubt, den befallenen PC aus der Ferne zu bedienen (geschieht durch Ablage der Mydoom-eigenen SHIMGAPI.DLL-Datei im system32-Verzeichnis und anschließendem Aufruf als Unterprozess des Windows Explorers);
• durch Vorbereitung einer sog. „Denial-of-service“-Attacke gegen die Website der SCO Group, welche mit dem 1. Februar 2004 beginnt; von einigen Virus-Analysten wurden jedoch Zweifel an der korrekten Arbeitsweise der hierzu vorhandenen Funktionen erhoben.

Eine zweite Version des Wurms (Mydoom.B) adressiert auch die Microsoft-Website und blockiert den Zugriff auf die Websites von Microsoft sowie bekannten Herstellern von AntiViren-Programmen. Dadurch sollen die AntiViren-Programme daran gehindert werden, Viren-Updates sowie Programm-Updates herunterzuladen.

Erste Analysen ließen vermuten, dass Mydoom eine Variante des Mimail-Wurms sei. Es wurde vermutet, dass die gleichen Personen für die beiden Würmer verantwortlich sind. Die Schlussfolgerungen nachfolgender Analysen entkräfteten diese Vermutungen jedoch wieder.

Der Wurm beinhaltet die Nachricht „andy; I'm just doing my job, nothing personal, sorry“, was zu Spekulationen darüber führte, ob der Programmierer für die Erstellung des Wurms bezahlt wurde. Andere Spekulationen (insbesondere der SCO Group) gingen in die Richtung, dass der Wurm aus der Linux-/Open-Source-Szene stamme, um gegen die von SCO (bisher unbewiesenen) Vorwürfe und damit in Zusammenhang stehenden Klagen vorzugehen, der Einsatz von Linux würde gegen Patente von SCO verstoßen. Wieder andere Spekulationen gehen davon aus, dass der Wurm von so genannten UBE/UCE- bzw. Spam-Versendern in die Welt gesetzt wurde, um so eine große Anzahl von infizierten Rechner zum Versand von UBE/UCE nutzen zu können.

Die Variante Mydoom.bb verwendet Suchmaschinen, um neue E-Mail-Adressen zu erhalten. Betreffzeilen wie „Error“, „Delivery failed“ oder „Postmaster“ deuten auf den Virus hin. Der Code verbirgt sich in einer angehängten Datei, die „Java.exe“ oder „Service.exe“ heißen kann.

Zeitlicher Ablauf

• 26. Januar 2004: Der Mydoom-Wurm wird das erste Mal gegen 13:00 Uhr UTC gesichtet. Die ersten verseuchten Mails treffen aus Russland ein. Die schnelle Verbreitung des Wurms sorgt für ein paar Stunden zu einer durchschnittlich 10-prozentigen Verlangsamung des Internetverkehrs und einer durchschnittlich erhöhten Ladezeit der Webseiten von 50 Prozent. Sicherheitsexperten berichten zu dieser Zeit, dass durchschnittlich jede zehnte eingehende E-Mail virenverseucht ist.

• Obwohl Mydooms Denial-of-service-Attacke gegen die SCO Group erst am 1. Februar 2004 starten soll, ist die Website der SCO Group wenige Stunden nach Ausbruch des Wurms nicht mehr erreichbar. Es ist nicht bekannt, ob Mydoom dafür verantwortlich ist. Die Website der SCO Group war im Jahre 2003 bereits des Öfteren Ziel verschiedener verteilter Denial-of-service-Attacken, ohne dass Computerviren dafür verantwortlich waren.

• 27. Januar 2004: Die SCO Group bietet 250.000 US-Dollar Belohnung für Informationen, die zur Ergreifung des Wurm-Programmierers führen. In den Vereinigten Staaten werden vom FBI und Secret Service Ermittlungen aufgenommen.

• 28. Januar 2004: Eine zweite Version des Wurms wird entdeckt. Die erste E-Mail mit der neuen Variante (Mydoom.B) trifft gegen 14:00 Uhr UTC wiederum aus Russland ein. Die neue Version soll ab dem 3. Februar 2004 auch Microsoft attackieren. Mydoom.B blockiert auch den Zugriff auf die Websites von über 60 AntiViren-Herstellern sowie auf so genannte „Popup“-Werbefenster von Online-Marketingfirmen wie DoubleClick. Sicherheitsexperten berichten, dass nunmehr fast jede fünfte eintreffende E-Mail virenverseucht ist.

• 29. Januar 2004: Aufgrund von Fehlern im Programmcode des Mydoom.B-Wurms nimmt die Ausbreitungsgeschwindigkeit entgegen anderslautenden Voraussagen ab. Microsoft setzt ebenfalls 250.000 US-Dollar Belohnung für Informationen zur Ergreifung des Programmierers aus.

• 30. Januar 2004: Eine französische Variante des Wurms kursiert im Internet. Die Ursprungsmail wird nach Kanada zurückverfolgt.

• 1. Februar 2004: Die erste verteilte Denial-of-service-Attacke gegen die SCO Group beginnt. Die Seiten www.sco.com und www.sco.de sind bereits ab dem 31. Januar 2004, 17:00 Uhr UTC unter der Adresse nicht mehr erreichbar. Der Webserver der SCO Group ist noch über http://216.250.128.21 erreichbar. Die offiziellen Hostnamen wurden im DNS-Server gelöscht.

• 3. Februar 2004: Die zweite Denial-of-service-Attacke gegen Microsoft beginnt. Aufgrund des Programmfehlers der B-Variante von Mydoom und der damit verbundenen geringeren Verbreitung halten sich die Angriffe jedoch im Rahmen und Microsoft kann seine Website weiter betreiben.

• 6. Februar 2004: Ein neuer Computerwurm mit dem Namen Deadhat wird zum ersten Mal vereinzelt gesichtet. Der neue Wurm nutzt die von Mydoom eingerichtete Backdoor aus und befällt über diesen Weg Windows-Computer, die mit dem Mydoom-Wurm infiziert sind. Dabei deinstalliert er die vorhandenen Mydoom-Würmer, deaktiviert Firewall- und AntiViren-Software und versucht sich auf anderen Windows-PCs weiter zu verbreiten. Mit Hilfe einer neu eingerichteten Backdoor können Angreifer beliebige Programme auf die von Deadhat befallenen Windows-Rechner hochladen und dort ausführen.

• 7. Februar 2004: Die deutsche Website von SCO, www.sco.de, ist wieder erreichbar. Die Hauptseite www.sco.com ist nach wie vor offline.

• 9. Februar 2004: Die Hauptseite www.sco.com ist wieder online.

• 12. Februar 2004: Mydoom.A soll seine weitere Verbreitung programmgesteuert einstellen. Die von Mydoom.A eingerichtete Backdoor bleibt jedoch weiterhin offen.

• 1. März 2004: Mydoom.B soll seine weitere Verbreitung programmgesteuert einstellen. Aber auch hier soll die Backdoor weiterhin offen bleiben.

• 27. Juli 2004: Mydoom.M verbreitet sich wieder als Anhang in Error-Mails. Er durchsucht die Festplatte nach E-Mail-Adressen, versendet sich an diese und fragt bei großen Suchmaschinen nach weiteren Adressen in dieser Domäne an.

Weblinks

• Beschreibung des BSI zum Mydoom-Wurm
• Heise: Tückischer Wurm bricht über MyDoom-Hintertür ein
• Heise: MyDoom überlastet Suchmaschinen