Auch in Ungarn verbreitet sich der MYTOB-Wurm rasant

Trend Micro unterhält eine mittlere Warnstufe für die neuesten Varianten des MYTOB-Wurms – die letzten 2 Versionen wurden in vielen Ländern, einschließlich Ungarn, entdeckt.

In den letzten 2 Monaten, seit seiner Veröffentlichung am 2005. Februar 26, wurden von TrendLabs, dem globalen Forschungs- und Supportzentrum für Virenschutz von Trend Micro, mehr als 100 Varianten des MYTOB-Wurms identifiziert. Laut der heutigen Statistik von Vírushiradó sind in Ungarn in den letzten 7 Tagen 39 Varianten von MYTOB aufgetaucht und haben Schaden angerichtet, was zu insgesamt 588.037 Infektionen im Freemail-Mailsystem führte. Dies macht fast 7 % der Angriffe in den letzten 30 Tagen aus, wobei eine infizierte Datei insgesamt 2 Millionen E-Mails enthält.

Die Übertragungsart von MYTOB
Wie frühere Versionen verbreitet sich dieser speicherresidente Wurm, indem er Kopien seiner selbst als an E-Mail-Nachrichten angehängte Datei über seine eigene SMTP-Engine (Simple Mail Transfer Protocol) an die Empfänger sendet. Nach dem Start lädt der Wurm ein Spyware-Programm herunter, das Werbung auf den Computern der Opfer platziert. Der Wurm kann auch Hintertüren öffnen und verfügt über einen integrierten Internet Relay Chat (IRC)-Stick, der es ihm ermöglicht, sich mit einem bestimmten IRC-Server zu verbinden.

Taktiken für die Verbreitung
Die klassische Taktik, die die Glaubwürdigkeit der Benutzer ausnutzt, präsentiert MYTOB als wichtige Nachricht für ein bestimmtes E-Mail-Postfach, als ob die Nachricht von einem Administrator gesendet würde. Der Wurm kann in einer Reihe von Briefen mit unterschiedlichen Themen und Textkörpern ankommen. Es fordert den Benutzer auf, auf die E-Mail zu antworten, wenn er das Deaktivieren oder Beenden seines Postfachs vermeiden möchte.

Eine Empfehlung eines Trend Micro Experten für Verteidigung
„Dies ist nicht das erste Mal, dass wir solche Taktiken sehen, die auf der Glaubwürdigkeit der Benutzer von den Herstellern von bösartigem Code basieren. Die wachsende Zahl von Spyware und Werbung, die in Verbindung mit Backdoor-Funktionen verwendet werden, ist jedoch bereits besorgniserregender, da diese Anwendungen es einem Angreifer ermöglichen, ihr Opfer zu täuschen. Trend Micro empfiehlt Administratoren, die Verwendung nicht wesentlicher Dateierweiterungen wie .exe-, .pif- und .scr-Dateien zu deaktivieren und Endbenutzern, verdächtige E-Mails und Anhänge nicht zu öffnen und sicherzustellen, dass der Beispiel-Virenschutz Dateien sind immer aktuell." sagte David Kopp, Leiter EMEA bei TrendLabs.

Kunden von Trend Micro sind vor dieser Bedrohung geschützt, indem sie die neueste Beispieldatei Nr. 2.653.00 verwenden. Kunden von Outbreak Prevention Services können sich vor der Verbreitung dieser Bedrohung schützen, indem sie die Infektionsschutzrichtlinien OPP 177 (oder höher) herunterladen. Kunden, die Damage Cleanup Services nutzen, können die automatische Wiederherstellung betroffener Systeme erleichtern, indem sie die Vorlagendatei 622 herunterladen.

Anderen Benutzern empfehlen wir den kostenlosen Online-Antivirus-Dienst Housecall von Trend Micro, der unter http://housecall.trendmicro.com/ verfügbar ist.

WORM_MYTOB.BI und WORM_MYTOB.AR
Nach dem Start des Wurms legt er eine Datei in Windows-Systemordnern ab, die oft nach einer berühmten belgischen Schauspielerin, Lien Van de Kelder, benannt sind. Die als TSPY_AGENT.H bezeichnete Spyware-Komponente ermöglicht es einem Angreifer, Mausklicks auf der Spyware-Website mediatickets.net zu verfolgen, um Infektionsraten und Benutzerpräferenzen zu verfolgen.