Loading AI tools
Name einer Gruppe von Computerwürmern Aus Wikipedia, der freien Enzyklopädie
Mydoom, auch oft mit Binnenmajuskel MyDoom geschrieben, ist der Name einer Gruppe von Computerwürmern. Es sind drei Varianten und zahlreiche modifizierte Formen des Wurms bekannt. Sie befallen Microsoft-Windows-Systeme. Die erste Version, Mydoom.A, wurde das erste Mal am 26. Januar 2004 gesichtet.[1][2][3]
Es handelt sich um den Computerwurm mit der bisher schnellsten Verbreitung, außerdem hat sich keine andere Malware häufiger selbst repliziert als Mydoom. Der Schaden in Höhe von etwa 38 bis 40 Milliarden Euro, den der Ausbruch von Mydoom.A verursachte, wurde bisher von keinem anderen Malware-Vorfall übertroffen (Stand April 2022).[4][5]
Mydoom hatte nicht nur zahlreiche Trittbrettfahrer zur Folge, sondern löste auch einen monatelang andauernden „Wettkampf“ mit anderen Wurmprogrammierern aus. Die Würmer löschten oder modifizierten sich teilweise gegenseitig, nutzten die geöffneten Backdoors für eigene Zwecke oder schlossen Sicherheitslücken, um konkurrierende Malware anderer Hacker an der Verbreitung zu hindern. Dieser „Wurmkrieg“ verursachte weitere Schäden in Höhe von über hundert Milliarden US-Dollar.
Der Wurm ist auch bekannt als Novarg, Mimail.R oder Shimgapi. Der bekannteste Name, MyDoom, wurde dem Wurm vom McAfee-Mitarbeiter Craig Schmugar gegeben.
Für die große Ausbruchswelle im Januar und Februar 2004 war vor allem die Urversion Mydoom.A verantwortlich. Die Version Mydoom.B folgte wenige Tage später, konnte sich wegen eines Programmfehlers aber nicht mehr so rasant verbreiten.
Erste Analysen ließen vermuten, dass Mydoom eine Variante des Mimail-Wurms sei. Daher ging man anfangs davon aus, dass hinter den beiden Würmern dieselben Verantwortlichen stecken würden. Aus diesem Grund hat MyDoom auch den alternativen Namen Mimail.R. Nachdem der Code des Wurms genauer untersucht worden war, entkräfteten sich diese Vermutungen jedoch wieder.[2]
Die dritte Variante Mydoom.bb (oft auch Mydoom.M genannt) geriet ein halbes Jahr später in Umlauf und verwendet Suchmaschinen, um neue E-Mail-Adressen zu erhalten. Betreffzeilen wie „Error“, „Delivery failed“ oder „Postmaster“ deuten auf den Wurm hin. Der Code verbirgt sich in einer angehängten Datei, die Java.exe
oder Service.exe
heißen kann.[6]
Bei den weiteren Würmern, die der Mydoom-Familie teilweise zugerechnet werden, handelt es sich um Plagiate der Originalversionen. Beispielsweise wurde oft die Zieldomain des Payloads oder die Texte der Spammails geändert. Der Wurm Doomjuice wurde teilweise auch als Mydoom.C bezeichnet, ist aber kein Derivat des richtigen Mydoom-Wurmes und zählt nicht zu den regulären Versionen. Er verbreitet sich über die von Mydoom.A und Mydoom.B geöffneten Hintertüren und nicht per E-Mail oder Peer-to-Peer. Der Mydoom-Ausbruch zog zahlreiche Trittbrettfahrer dieser Art nach sich.
Als offensichtlichstes Motiv gilt aufgrund des Payload ein gezielter Angriff gegen die SCO Group und gegen Microsoft. Es wurde gemutmaßt, dass der Wurm aus der Linux-/Open-Source-Szene stammen würde, um gegen die von SCO erhobenen Vorwürfe und damit in Zusammenhang stehenden Klagen vorzugehen. SCO hatte geklagt, da der Einsatz von Linux gegen mehrere Patente der Firma verstoßen würde. Der jahrelange Rechtsstreit, der folgte, nahm 2004 gerade seinen Anfang. Wieder andere Spekulationen gehen davon aus, dass der Wurm von so genannten UBE/UCE- bzw. Spam-Versendern in die Welt gesetzt wurde, um so eine große Anzahl von infizierten Rechner zum Versand von UBE/UCE nutzen zu können.[1]
Die massiven Schäden durch Überlastungen und Serverausfälle richtete Mydoom vor allem bei seiner explosionsartigen Verbreitung an. Der integrierte Payload der ursprünglichen Version blieb weitgehend ohne Folgen.
Verschiedenen Medienberichten nach soll der Autor des Wurms aus Russland stammen. Kaspersky Labs gab in einer Pressemitteilung an, dass die ersten infizierten Mails von dort aus verschickt wurden. Zudem weisen viele Eigenheiten des Wurmprogrammes auf russische Entwickler hin. Diese Indizien könnten aber auch als absichtlich gelegte falsche Spur dienen.[7][8] Auch der Geheimdienst FSB wurde teilweise als möglicher Urheber genannt.
Obwohl Microsoft und SCO hohe Belohnungen für Hinweise ausschrieben, blieben die Autoren des Wurms letztlich unbekannt.
Der Code des Wurms beinhaltet die Nachricht:
andy; I'm just doing my job, nothing personal, sorry
Das führte zu Spekulationen darüber, ob der Programmierer für die Erstellung des Wurms bezahlt wurde. Die Bedeutung des Namens Andy im Code des Wurms ist ungeklärt. Entweder der Autor heißt so oder nennt sich so, oder er richtet einen Gruß an eine Person namens Andy aus, oder Andy soll der Name des Malwareprogrammes sein.
Wurde der Wurm auf einem infizierten System aktiv, richtete er einen Mailserver ein und verschickte massenhaft Mails, deren Anhang mit einer Kopie seiner selbst infiziert war.[5][2][3]
Mydoom wird vorwiegend über E-Mail übertragen und gibt sich gegenüber dem Empfänger als „Übertragungsfehler bei der Mailzustellung“ aus. Im Betreff der E-Mails tauchen Meldungen auf wie „Error“, „Mail Delivery System“, „Test“, „Delivery Status Notification“ oder „Mail Transaction Failed“. In den deutschen Varianten kommen auch Betreffzeilen wie „Benachrichtigung zum Übermittlungsstatus (Fehlgeschlagen)“ und ähnliches vor.[4][2] Weiterhin legt der Wurm eine Kopie seiner selbst im Ordner „Gemeinsame Dateien“ des Peer-to-Peer Datentauschprogramms Kazaa ab, indem er eine Sicherheitslücke des Programmes ausnutzt.[3][9]
An die E-Mail ist eine ausführbare Datei angehängt, bei der es sich um den Mydoom-Wurm handelt. Wird der Anhang ausgeführt, installiert sich der Wurm im Windows-Betriebssystem. Danach durchsucht der Wurm lokale Dateien sowie das Windows-Adressbuch des befallenen Rechners nach E-Mail-Adressen und versendet sich an diese. Beim Versand der verseuchten Mails schließt der Wurm jedoch Zieladressen von diversen Universitäten, wie der Rutgers-Universität, dem MIT, der Universität Stanford und der UC Berkeley, sowie verschiedenen Antiviren-Softwareherstellern wie Symantec oder McAfee aus. Auch an Microsoft wird keine Kopie versendet, ebenso sind Adressbestandteile wie „service“ oder „help“ Ausschlussgründe. Behauptungen aus ersten Berichten, der Wurm würde generell alle .edu-Adressen ausschließen, haben sich als falsch herausgestellt.[2]
SHIMGAPI.DLL
-Datei im system32-Verzeichnis und anschließendem Aufruf als Unterprozess des Windows Explorers ermöglicht.[5]push 1042
call edi ; htons
mov ebx, socket
push IPPROTO_TCP
push SOCK_STREAM
push AF_INET
mov [esi+2], ax
call ebx ; socket
mov ebp, bind
jmp short bind_n_listen
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.