Trend Micro löst "Gelben Alarm" wegen Mytob-Virus aus

Nero24

Administrator
Teammitglied
Mitglied seit
01.07.2000
Beiträge
24.066
Renomée
10.445
  • BOINC Pentathlon 2019
  • BOINC Pentathlon 2020
  • BOINC Pentathlon 2018
  • BOINC Pentathlon 2021
Laut Anti-Viren Spezialist Trend Micro steht den Usern des Internets in den nächsten Tagen wieder eine regelrechte Virenschwemme bevor. Der Wurm Mytob ist demnach gerade dabei, seine Waffen zu laden und die Postfächer der eMail-Server zu überfluten.

Wie viele andere eMail-Würmer auch setzt Mytob dabei mal wieder auf die Unerfahrenheit vieler Anwender. Die eMail kommt mit Anhang und einer wichtig klingenden Betreffzeile wie "Important Notification" oder "Notice: **Last Warning**". Wer die eMail und den Anhang öffnen, aktiviert den Wurm, der sich zuerst einmal selbst an alle Adressen des Outlook-Adressbuchs weiter verschickt und anschließend eine Spyware-Komponente installiert, die mit der Website Mediatickets.net Verbindung aufnimmt. Zusätzlich öffnet der Wurm offenbar auch über eine Backdoor, um über einen eingebauten IRC-Bot IRC-Servern Kontakt aufzunehmen. Das Weiterschicken erfolgt wie bei vielen Würmern in letzter Zeit über einen eigenen SMTP-Server. Der Wurm kann also jede beliebige Absenderadresse vortäuschen, was ihn für unbedarfte Anwender zusätzlich gefährlich macht, denen man zwar eingebläut hat, keine eMails von unbekannten Absendern zu öffnen, jedoch nicht, vor dem Öffnen einer eMail samt Anhang fünf Sekunden zu überlegen, warum Tante Tine eine eMail mit englischem Betreff und Anhang schickt.

Trend Micro <a href="http://de.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?VName=WORM_MYTOB.BI" TARGET="b">stuft</a> das Schadens- und Verbreitungspotenzial als "Hoch" ein, den allgemeinen Risikofaktor als "Mittel". Für einen Teil seiner Schadensaktivitäten nutzt der Wurm die bekannte LSASS-Sicherheitslücke, die Sasser damals genutzt hat, um sich zu verbreiten, die jedoch mit SP2 bereits gefixt ist. Auch für SP1 gibt es einen Patch (wir <a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=2&id=1083535342">berichteten</a>).
Danke Rhodanos für den Hinweis
 
Wieso steht in den meisten Beschreibungen der Vorgehensweise eines Wurmes eigentlich immer: "[...] selbst an alle Adressen des Outlook-Adressbuchs [...]"

Kann der Wurm sich bei anderen E-Mail Programmen nicht an die Adreessen des Kontakteverzeichnisses verschicken?
Oder wird darauf immer hingewiesen da die meisten Benutzer Outlook verwenden?
 
Outlook bzw. Outlook Express ist das meist verwendete eMail-Programm. Ergo stürzen sich die ganzen Virenprogrammierer auf deren Adressbücher, da damit der durchschlagendste "Erfolg" zu erzielen ist :o
 
Aha ok!

Ich habe bei meinen "Kunden", Bekannten bei Neuinstallationen statt Outlook immer Thunderbird installiert.

Mal angenommen jemand von denen öffnet den Anhang einer infizierten Mail. Verbreitet der Wurm sich dann an die Kontakte von Thunderbird oder sind die Routinen des Wurms nur so ausgelegt das er sich versucht an die Kontakte von Outlook bzw. Outlook Express zu versenden?
 
der wird (höchstwahrscheinlich) nur outlook kontakte suchen.
 
Nero24 schrieb:
aus diesem Posting
... Der Wurm kann also jede beliebige Absenderadresse vortäuschen, was ihn für unbedarfte Anwender zusätzlich gefährlich macht, denen man zwar eingebläut hat, keine eMails von unbekannten Absendern zu öffnen, jedoch nicht, vor dem Öffnen einer eMail samt Anhang fünf Sekunden zu überlegen, warum Tante Tine eine eMail mit englischem Betreff und Anhang schickt....
:] ;D *suspect*
 
Predator_one schrieb:
aber wenn das antivirenprog. die eingehenden email prüft kann doch nichts passieren!
Wenn das Antivirenprogramm den Virus erkennt, natuerlich nicht. Aber eine Garantie hast du natuerlich nicht, dass es dies auch macht.

Aqua
 
ich hab den virus auf meinem rechner, ohne eine e-mail oder deren anhang geöffnet zu haben! ich krieg ihn auch weder mit antivir noch mit kaspersky los...
gut haut rein ich bin mal formatieren!
 
Zuletzt bearbeitet:
Wenn das Antivirenprogramm den Virus erkennt, natuerlich nicht.
Natürlich kann auch eine Softwarefirewall nicht schaden, die der SMTP Server Komponente des Virus den Kontakt zu Außenwelt verwehrt. Allerdings sollte sich die verwendete Firewall als immun gegen unbefugte Versuche der Beendigung ihrer Prozesse erweisen.
 
Zurück
Oben Unten