Tipp

Neueste Mytob-Würmer tricksen Anwender aus

Oliver W. Oliver W.

Mit der Veröffentlichung immer neuer Varianten, die zur Infizierung unterschiedliche raffinierte Methoden anwenden, konnte sich der Mytob-Wurm in den vergangenen Tagen schnell und weit verbreiten.

Die Virenschutz-Experten von Sophos warnen vor den neuen Versionen des Mytob-Wurms, die sich noch immer im Internet verbreiten. Einige verwenden dabei eine neue Methode, um ahnungslose Computeranwender zu infizieren. Hacker bringen ständig neue Versionen des Mytob-Wurms in Umlauf. Mehrere Varianten des Wurms machten, den Angaben zufolge, in den letzten sieben Tagen 14 der 20 am häufigsten an Sophos gemeldeten Viren aus.

Die Sophos-Forscher haben jedoch festgestellt, dass einige der neuen Varianten eine andere Methode verwenden, um die Computer ahnungsloser Anwender zu infizieren. Während die meisten Mytob-Würmer als E-Mail-Attachment auf den Computer gelangen, nutzen verschiedene neue Versionen einen Trick aus, der auch von Phishern verwendet wird: Sie fügen einen Internetlink zu dem schädlichen Code in die E-Mail ein.

Die Mytob-Würmer schalten Sicherheitsprogramme auf den infizierten Windows-Computern aus und blockieren den Zugriff auf beliebte Sicherheits-Websites. Sie versuchen außerdem, eine Backdoor auf den Computer zu öffnen, durch die Hacker Zugriff auf den Computer erhalten können. Die E-Mails, die von den neuen Versionen des Mytob-Wurms gesendet werden, tarnen sich als scheinbar legitime E-Mails von der IT-Abteilung oder vom ISP des Empfängers. Darin wird von einem Sicherheitsproblem mit dem E-Mail-Konto gesprochen. Die Anwender werden aufgefordert, auf den Internetlink zu klicken, um ihr Konto zu bestätigen. Um der E-Mail mehr Glaubwürdigkeit zu verleihen, wird auf die Domäne und die E-Mail-Adresse des Empfängers verwiesen.

E-Mails, die von der Variante W32/Mytob-DA gesendet werden, können folgendermaßen aussehen:

Betreffzeile:IMPORTANT Please Confirm Your Account

Text:"Dear Valued Member,According to our site policy you will have to confirm your account by the following link or else your account will be suspended within 24 hours for security reasons.

http://www.<Domänenname>/confirm.php?email=<E-Mail-Adresse des Empfängers>

Thank you for your attention to this question. We apologize for any inconvenience.

Sincerely,<Unternehmensname> Security Department Assistant."

Beim Klicken auf den Link in der E-Mail gelangt der Anwender nicht auf die angegebene Domäne, sondern auf eine andere Website und lädt eine Kopie des Wurms herunter. "Mit der Tarnung dieser neuen Versionen des Mytob-Wurms sollen unvorsichtige Anwender dazu gebracht werden, auf einen gefählichen Internetlink zu klicken", sagt Graham Cluley, Senior Technology Consultant bei Sophos. "Dies ist ein echtes Problem für IT-Abteilungen, die Schwierigkeiten haben, wenn Anwender nicht ihren Anweisungen folgen. In diesem Fall ist es nämlich tatsächlich keine gute Idee, den Anweisungen in der E-Mail Folge zu leisten."

Die neuen Versionen des Mytob-Wurms enthalten zahlreiche versteckte Nachrichten. Einige behaupten zum Beispiel, der Name des Autors sei "DiablO" und enthalten Debug-Zeichenfolgen, wie "[x] starting Hellbot::v3 beta 2". "Alle Anzeichen deuten daraufhin, dass dies nicht das letzte Mal gewesen ist, dass wir den Mytob-Wurm sehen. Mit hoher Wahrscheinlichkeit werden noch mehr Versionen in Umlauf gebracht werden. Es ist unerlässlich, dass jeder seinen Virenschutz auf einem aktuellen Stand hält und die Tipps zum sicheren Umgang mit dem Computer beherzigt", so Cluley weiter.

Sophos empfiehlt Unternehmen, mit einer profunden Viren- und Spamschutzlösung ihren Virenschutz automatisch zu aktualisieren und Attachments am E-Mail-Gateway zu filtern, da diese schädlichen Code enthalten können.

Neueste Artikel