Mimail.Q mit “Tarnkappe”

Der russische Sicherheitsspezialist  Kaspersky Labs http://www.kaspersky.com warnt vor einer neuen  Modifikation des berüchtigten E-Mail-Wurms Mimail. Die brandneue Version  Mimail.Q verfügt über einen kryptographischen Schutz gegen  Anti-Viren-Programme und hat in einzelnen Fällen bereits zu schweren  Infizierungen geführt.

   MimailQ vermehrt sich über E-Mails mit unterschiedlichen Inhalten und mit
   zufällig ausgewählten Attachement-Namen. Der Wurm besteht aus zwei
   Teilen, einem “Dropper” (Modul zur Installation des Hauptteils) und einem
   “Wirt” (Hauptteil). Nach dem Doppelklick auf das Attachement öffnet der
   “Dropper” ein Fenster mit einer falschen Fehlermeldung, kopiert sich
   unter dem Namen sys32.exe in das Windows-Systemverzeichnis und
   registriert sich im Schlüssel des Startverzeichnisses. Dann entpackt der
   Wurm seinen Hauptteil (die Datei outlook.exe) und startet ihn.

   Die raffinierte neue “Tarnkappen-Technik” des Wurms besteht in der
   Verwendung von kryptographischen Algorithmen zum Schutz vor
   Anti-Viren-Programmen. Bei jedem Neustart modifiziert Mimail.Q den
   Chiffrierschlüssel und ändert damit Aussehen und Zusammensetzung seiner
   Klone.

   Der “Wirt” des Wurms erfüllt gleich mehrere Funktionen. Er verschickt
   seine Kopien, scannt den Inhalt der Festplatte nach Adressen und
   verschickt verseuchte E-Mails mithilfe einer integrierten Engine. Weiters
   öffnet er mehrere “Schlupflöcher” für Hacker. Über die geöffneten Ports
   6667, 3000, 80, 1433 und 1434 empfängt er Befehle seines “Meisters” und
   verschickt ausspionierte Angaben über die Zahlungssysteme PayPal und
   E-Gold.