Der russische Sicherheitsspezialist Kaspersky Labs http://www.kaspersky.com warnt vor einer neuen Modifikation des berüchtigten E-Mail-Wurms Mimail. Die brandneue Version Mimail.Q verfügt über einen kryptographischen Schutz gegen Anti-Viren-Programme und hat in einzelnen Fällen bereits zu schweren Infizierungen geführt.
MimailQ vermehrt sich über E-Mails mit unterschiedlichen Inhalten und mit
zufällig ausgewählten Attachement-Namen. Der Wurm besteht aus zwei
Teilen, einem “Dropper” (Modul zur Installation des Hauptteils) und einem
“Wirt” (Hauptteil). Nach dem Doppelklick auf das Attachement öffnet der
“Dropper” ein Fenster mit einer falschen Fehlermeldung, kopiert sich
unter dem Namen sys32.exe in das Windows-Systemverzeichnis und
registriert sich im Schlüssel des Startverzeichnisses. Dann entpackt der
Wurm seinen Hauptteil (die Datei outlook.exe) und startet ihn.
Die raffinierte neue “Tarnkappen-Technik” des Wurms besteht in der
Verwendung von kryptographischen Algorithmen zum Schutz vor
Anti-Viren-Programmen. Bei jedem Neustart modifiziert Mimail.Q den
Chiffrierschlüssel und ändert damit Aussehen und Zusammensetzung seiner
Klone.
Der “Wirt” des Wurms erfüllt gleich mehrere Funktionen. Er verschickt
seine Kopien, scannt den Inhalt der Festplatte nach Adressen und
verschickt verseuchte E-Mails mithilfe einer integrierten Engine. Weiters
öffnet er mehrere “Schlupflöcher” für Hacker. Über die geöffneten Ports
6667, 3000, 80, 1433 und 1434 empfängt er Befehle seines “Meisters” und
verschickt ausspionierte Angaben über die Zahlungssysteme PayPal und
E-Gold.
Mimail.Q mit “Tarnkappe”
-
Vorheriger Artikel Nächster Artikel