Der britische Security-Experte Sophos http://www.sophos.com warnt vor einer neuen Migration des
Mytob-Wurms. "Mytob-HM" schaltet Antiviren-Anwendungen aus, ermöglicht Dritten
den Zugriff auf den Computer und verändert Daten auf dem Wirt-Computer.
"W32/Mytob-HM" ist ein Massenmailing-Wurm und ein Backdoortrojaner der laut
Sophos über das Internet-Relay-Chat (IRC)-Netzwerk gesteuert werden kann. Der
Wurm kann sich via E-Mail und über verschiedene Betriebssystemstellen, wie LSASS
verbreiten. Der Name der angehängten Datei besteht laut Sophos aus einem
Basisnamen, gefolgt von der Erweiterung "PIF", "SRC", "EXE" oder "ZIP". Der
Malicious-Code kann auch doppelte Erweiterungen erzeugen, wobei die erste "DOC",
"TXT" oder "HTM" und die zweite "PIF", "SCR", "EXE" oder "ZIP" ist.
Nach
der Infektion legt der Wurm eine Datei namens "hellmsn.exe" an. Diese Komponente
versucht den Wurm zu verbreiten, indem sie die SCR-Dateien über den
Windows-Messenger an alle Online-Kontakte sendet. Die Antiviren-Produkte von
Sophos enthalten seit kurzem die Erkennungstechnologie "Genotype", die proaktiv
vor neuen Viren schützt, ohne dass ein Update erforderlich ist. Seit der Version
3.94 sind Sophos-Kunden deshalb vor "32/Mytob-HM" geschützt.