MyDoom | |
---|---|
Name | MyDoom |
Aliase | Novarg, Shimgapi |
Bekannt seit | 2004 |
Herkunft | vmtl. Russland |
Typ | E-Mailwurm |
Weitere Klassen | Peer-to-Peer-Wurm |
Dateigröße | 22.528 Bytes |
Speicherresident | ja |
Verbreitung | E-Mail, Tauschbörse Kazaa |
System | Windows 9x, NT, 2000, XP |
Programmiersprache | C++ |
Mydoom, auch oft mit Binnenmajuskel MyDoom geschrieben, ist der Name einer Gruppe von Computerwürmern. Es sind drei Varianten und zahlreiche modifizierte Formen des Wurms bekannt. Sie befallen Microsoft-Windows-Systeme. Die erste Version, Mydoom.A, wurde das erste Mal am 26. Januar 2004 gesichtet.
Es handelt sich um den Computerwurm mit der bisher schnellsten Verbreitung, außerdem hat sich keine andere Malware häufiger selbst repliziert als Mydoom. Der Schaden in Höhe von etwa 38 bis 40 Milliarden Euro, den der Ausbruch von Mydoom.A verursachte, wurde bisher von keinem anderen Malware-Vorfall übertroffen (Stand April 2022).
Mydoom hatte nicht nur zahlreiche Trittbrettfahrer zur Folge, sondern löste auch einen monatelang andauernden „Wettkampf“ mit anderen Wurmprogrammierern aus. Die Würmer löschten oder modifizierten sich teilweise gegenseitig, nutzten die geöffneten Backdoors für eigene Zwecke oder schlossen Sicherheitslücken, um konkurrierende Malware anderer Hacker an der Verbreitung zu hindern. Dieser „Wurmkrieg“ verursachte weitere Schäden in Höhe von über hundert Milliarden US-Dollar.
Aliasse
Der Wurm ist auch bekannt als Novarg, Mimail.R oder Shimgapi. Der bekannteste Name, MyDoom, wurde dem Wurm vom McAfee-Mitarbeiter Craig Schmugar gegeben.
Versionen und Derivate
Für die große Ausbruchswelle im Januar und Februar 2004 war vor allem die Urversion Mydoom.A verantwortlich. Die Version Mydoom.B folgte wenige Tage später, konnte sich wegen eines Programmfehlers aber nicht mehr so rasant verbreiten.
Erste Analysen ließen vermuten, dass Mydoom eine Variante des Mimail-Wurms sei. Daher ging man anfangs davon aus, dass hinter den beiden Würmern dieselben Verantwortlichen stecken würden. Aus diesem Grund hat MyDoom auch den alternativen Namen Mimail.R. Nachdem der Code des Wurms genauer untersucht worden war, entkräfteten sich diese Vermutungen jedoch wieder.
Die dritte Variante Mydoom.bb (oft auch Mydoom.M genannt) geriet ein halbes Jahr später in Umlauf und verwendet Suchmaschinen, um neue E-Mail-Adressen zu erhalten. Betreffzeilen wie „Error“, „Delivery failed“ oder „Postmaster“ deuten auf den Wurm hin. Der Code verbirgt sich in einer angehängten Datei, die Java.exe
oder Service.exe
heißen kann.
Bei den weiteren Würmern, die der Mydoom-Familie teilweise zugerechnet werden, handelt es sich Plagiate der Originalversionen. Beispielsweise wurde oft die Zieldomain des Payloads oder die Texte der Spammails geändert. Der Wurm Doomjuice wurde teilweise auch als Mydoom.C bezeichnet, ist aber kein Derivat des richtigen Mydoom-Wurmes und zählt nicht zu den regulären Versionen. Er verbreitet sich über die von Mydoom.A und Mydoom.B geöffneten Hintertüren und nicht per E-Mail oder Peer-to-Peer. Der Mydoom-Ausbruch zog zahlreiche Trittbrettfahrer dieser Art nach sich.
Herkunft und Motiv
Als offensichtlichstes Motiv gilt aufgrund des Payload aber ein gezielter Angriff gegen die SCO Group und gegen Microsoft. Es wurde gemutmaßt, dass der Wurm aus der Linux-/Open-Source-Szene stammen würde, um gegen die von SCO erhobenen Vorwürfe und damit in Zusammenhang stehenden Klagen vorzugehen. SCO hatte geklagt, da der Einsatz von Linux gegen mehrere Patente der Firma verstoßen würde. Der jahrelange Rechtsstreit, der folgte, nahm 2004 gerade seinen Anfang. Wieder andere Spekulationen gehen davon aus, dass der Wurm von so genannten UBE/UCE- bzw. Spam-Versendern in die Welt gesetzt wurde, um so eine große Anzahl von infizierten Rechner zum Versand von UBE/UCE nutzen zu können.
Die massiven Schäden durch Überlastungen und Serverausfälle richtete Mydoom vor allem bei seiner explosionsartigen Verbreitung an. Der integrierte Payload der ursprünglichen Version blieb weitgehend ohne Folgen.
Verschiedenen Medienberichten nach soll der Autor des Wurms aus Russland stammen. Kaspersky Labs gab in einer Pressemitteilung an, dass die ersten infizierten Mails von dort aus verschickt wurden. Zudem weisen viele Eigenheiten des Wurmprogrammes auf russische Entwickler hin. Diese Indizien könnten aber auch als absichtlich gelegte falsche Spur dienen. Auch der Geheimdienst FSB wurde teilweise als möglicher Urheber genannt.
Obwohl Microsoft und SCO hohe Belohnungen für Hinweise ausschrieben, blieben die Autoren des Wurms letztlich unbekannt.
Funktion
Der Code des Wurms beinhaltet die Nachricht:
andy; I'm just doing my job, nothing personal, sorry
Das führte zu Spekulationen darüber, ob der Programmierer für die Erstellung des Wurms bezahlt wurde. Die Bedeutung des Namens Andy im Code des Wurms ist ungeklärt. Entweder der Autor heißt so oder nennt sich so, oder er richtet einen Gruß an eine Person namens Andy aus, oder Andy soll der Name des Malwareprogrammes sein.
Vervielfältigung
Wurde der Wurm auf einem infizierten System aktiv, richtete er einen Mailserver ein und verschickte massenhaft Mails, deren Anhang mit einer Kopie seiner selbst infiziert war.
Mydoom wird vorwiegend über E-Mail übertragen und gibt sich gegenüber dem Empfänger als „Übertragungsfehler bei der Mailzustellung“ aus. Im Betreff der E-Mails tauchen Meldungen auf wie „Error“, „Mail Delivery System“, „Test“, „Delivery Status Notification“ oder „Mail Transaction Failed“. In den deutschen Varianten kommen auch Betreffzeilen wie „Benachrichtigung zum Übermittlungsstatus (Fehlgeschlagen)“ und ähnliches vor. Weiterhin legt der Wurm eine Kopie seiner selbst im Ordner „Gemeinsame Dateien“ des Peer-to-Peer Datentauschprogramms Kazaa ab, indem er eine Sicherheitslücke des Programmes ausnutzt.
An die E-Mail ist eine ausführbare Datei angehängt, bei der es sich um den Mydoom-Wurm handelt. Wird der Anhang ausgeführt, installiert sich der Wurm im Windows-Betriebssystem. Danach durchsucht der Wurm lokale Dateien sowie das Windows-Adressbuch des befallenen Rechners nach E-Mail-Adressen und versendet sich an diese. Beim Versand der verseuchten Mails schließt der Wurm jedoch Zieladressen von diversen Universitäten, wie der Rutgers-Universität, dem MIT, der Universität Stanford und der UC Berkeley, sowie verschiedenen Antiviren-Softwareherstellern wie Symantec oder McAfee aus. Auch an Microsoft wird keine Kopie versendet, ebenso sind Adressbestandteile wie „service“ oder „help“ Ausschlussgründe. Behauptungen aus ersten Berichten, der Wurm würde generell alle .edu-Adressen ausschließen, haben sich als falsch herausgestellt.
Payload
- Mydoom.A, die Original-Version des Wurms, richtete eine Backdoor über Port 1042 ein, die es ermöglichte, den befallenen PC aus der Ferne zu bedienen. Das wird durch Ablage der Mydoom-eigenen
SHIMGAPI.DLL
-Datei im system32-Verzeichnis und anschließendem Aufruf als Unterprozess des Windows Explorers ermöglicht.
- Dafür wird folgende Programmroutine verwendet:
push 1042
call edi ; htons
mov ebx, socket
push IPPROTO_TCP
push SOCK_STREAM
push AF_INET
mov [esi+2], ax
call ebx ; socket
mov ebp, bind
jmp short bind_n_listen
- Außerdem wurde eine Denial-of-service-Attacke gegen die Website der SCO Group vorbereitet, welche auf 1. Februar 2004 datiert war. Bereits im Vorfeld wurden von einigen Virus-Analysten jedoch Zweifel an der korrekten Arbeitsweise der hierzu vorhandenen Funktionen erhoben. Die Website war bereits vor der geplanten Attacke vorübergehend nicht erreichbar. Die Ursache war vermutlich eine beabsichtigte Präventivmaßnahme.
- Mydoom.B adressiert auch die Microsoft-Website und blockiert den Zugriff auf die Websites von Microsoft sowie bekannten Herstellern von AntiViren-Programmen. Dadurch sollen die AntiViren-Programme daran gehindert werden, Viren-Updates sowie Programm-Updates herunterzuladen.
Auswirkungen
- 26. Januar 2004: Der Mydoom-Wurm wird das erste Mal gegen 13:00 Uhr UTC gesichtet. Die ersten verseuchten Mails treffen aus Russland ein. Die schnelle Verbreitung des Wurms führt für ein paar Stunden zu einer durchschnittlich 10-prozentigen Verlangsamung des Internetverkehrs und einer durchschnittlich erhöhten Ladezeit der Webseiten von 50 Prozent. Sicherheitsexperten berichten zu dieser Zeit, dass durchschnittlich jede zehnte eingehende E-Mail virenverseucht ist. Obwohl Mydooms Denial-of-service-Attacke gegen die SCO Group erst am 1. Februar 2004 starten soll, ist die Website der SCO Group wenige Stunden nach Ausbruch des Wurms nicht mehr erreichbar. Es ist nicht bekannt, ob Mydoom dafür verantwortlich ist. Die Website der SCO Group war im Jahr 2003 bereits des Öfteren Ziel verschiedener verteilter Denial-of-service-Attacken, ohne dass Malware dafür verantwortlich waren.
- 27. Januar 2004: Die SCO Group bietet 250.000 US-Dollar Belohnung für Informationen, die zur Ergreifung des Wurm-Programmierers führen. In den Vereinigten Staaten werden vom FBI und Secret Service Ermittlungen aufgenommen.
- 28. Januar 2004: Eine zweite Version des Wurms wird entdeckt. Die erste E-Mail mit der neuen Variante Mydoom.B trifft gegen 14:00 Uhr UTC wiederum aus Russland ein. Die neue Version soll ab dem 3. Februar 2004 auch Microsoft attackieren. Mydoom.B blockiert auch den Zugriff auf die Websites von über 60 AntiViren-Herstellern sowie auf so genannte „Popup“-Werbefenster von Online-Marketingfirmen wie DoubleClick. Sicherheitsexperten berichten, dass nunmehr fast jede fünfte eintreffende E-Mail virenverseucht ist.
- 29. Januar 2004: Aufgrund von Fehlern im Programmcode des Mydoom.B-Wurms nimmt die Ausbreitungsgeschwindigkeit entgegen anderslautenden Voraussagen ab. Microsoft setzt ebenfalls 250.000 US-Dollar Belohnung für Informationen zur Ergreifung des Programmierers aus.
- 30. Januar 2004: Eine französische Variante des Wurms kursiert im Internet. Die Ursprungsmail wird nach Kanada zurückverfolgt.
- 1. Februar 2004: Die erste verteilte Denial-of-service-Attacke gegen die SCO Group beginnt. Die Seiten www.sco.com und www.sco.de sind bereits ab dem 31. Januar 2004, 17:00 Uhr UTC unter der Adresse nicht mehr erreichbar. Der Webserver der SCO Group ist noch über http://216.250.128.21/ erreichbar. Die offiziellen Hostnamen wurden im DNS-Server gelöscht.
- 3. Februar 2004: Die zweite Denial-of-service-Attacke gegen Microsoft beginnt. Aufgrund des Programmfehlers der B-Variante von Mydoom und der damit verbundenen geringeren Verbreitung halten sich die Angriffe jedoch im Rahmen und Microsoft kann seine Website weiter betreiben.
- 6. Februar 2004: Ein neuer Computerwurm mit dem Namen Deadhat wird zum ersten Mal vereinzelt gesichtet. Der neue Wurm nutzt die von Mydoom eingerichtete Backdoor aus und befällt über diesen Weg Windows-Computer, die mit dem Mydoom-Wurm infiziert sind. Dabei deinstalliert er die vorhandenen Mydoom-Würmer, deaktiviert Firewall- und AntiViren-Software und versucht sich auf anderen Windows-PCs weiter zu verbreiten. Mit Hilfe einer neu eingerichteten Backdoor können Angreifer beliebige Programme auf die von Deadhat befallenen Windows-Rechner hochladen und dort ausführen.
- 7. Februar 2004: Die deutsche Website von SCO, www.sco.de, ist wieder erreichbar. Die Hauptseite www.sco.com ist nach wie vor offline.
- 9. Februar 2004: Die Hauptseite www.sco.com ist wieder online.
- 10. Februar 2004: Weltweit wird über den neuen Wurm Doomjuice berichtet. Er wurde auch als Mydoom.C bezeichnet, ist aber anders aufgebaut und verbreitet sich nicht als E-Mail-, sondern als Netzwerkwurm. Der Anfangsverdacht fiel aber dennoch auf die Autoren von Mydoom.A und Mydoom.B, da der neue Wurm vermutlich von Insidern stammt. Er verwendet die von den ersten Versionen eingerichtete Backdoor, um Rechner zu kompromittieren.
- 12. Februar 2004: Mydoom.A soll seine weitere Verbreitung programmgesteuert einstellen. Die von Mydoom.A eingerichtete Backdoor bleibt jedoch weiterhin offen.
- 16. Februar 2004: Der Nematode Netsky wird erstmals gesichtet. Dieser als hilfreich konzipierte Computerwurm versucht Mydoom zu deaktivieren und geöffnete Hintertüren zu schließen. Netsky verbreitet sich aber viel zu schnell, in der Folge verursachen seine zahlreichen Versionen und Derivate ebenfalls Schäden in Milliardenhöhe.
- 1. März 2004: Mydoom.B soll seine weitere Verbreitung programmgesteuert einstellen. Aber auch hier soll die Backdoor weiterhin offen bleiben.
- 4. März 2004: Die umprogrammierte Variante Mydoom.G wird entdeckt. Sie soll DoS-Attacken gegen die Firma Symantec auslösen und enthält eine Nachricht an den Programmierer des Wurms Netsky. Sven Jaschan war zu diesem Zeitpunkt noch nicht namentlich bekannt, er wurde erst einen Monat später identifiziert. Da sich das Plagiat identisch wie die originalen Mydoom-Würmer verhält, bleibt eine weitere Schadenswelle aus.
- 27. Juli 2004: Mydoom.bb verbreitet sich als Anhang in Error-Mails. Er durchsucht die Festplatte nach E-Mail-Adressen, versendet sich an diese und fragt bei großen Suchmaschinen nach weiteren Adressen in dieser Domäne an.
- 10. September 2004: Umprogrammierte Mydoom-Derviate aus dritter Hand, die Versionen U, V, W und X, wurden in den letzten Tagen entdeckt. Trotz erster Befürchtungen, dass es sich dabei um noch leistungsfähigere und gefährlichere Würmer handelt, halten sich die Schäden verglichen mit der ersten Welle diesmal in Grenzen.
- 18. Februar 2005: Ein weiterer Ableger namens MyDoom.AO wird gemeldet. Auch er erreicht nicht annähernd die Verbreitung der Originalwürmer.
- 8. Juli 2009: Bei der Aufarbeitung einer Reihe von gezielten Cyberattacken gegen südkoreanische und US-amerikanische Einrichtungen stellen IT-Experten fest, dass für die Angriffe der Code von Mydoom in Teilen wiederverwendet wurde.
- 6. April 2010: Die neue Variante MyDoom.MA verursacht sechs Jahre nach dem Original noch einmal einen vergleichsweise kleinen Ausbruch mit bis zu 600 verseuchten E-Mails pro Stunde.
- 26. Juli 2019: Laut einer Pressemeldung des IT-Sicherheitsunternehmens Palo Alto Networks ist der Wurm immer noch aktiv. Weltweit werden vereinzelt nach wie vor veraltete, infizierte Systeme betrieben. Die Firma registriert weiterhin jeden Monat Zehntausende von MyDoom-E-Mails, die zum Großteil von chinesischen IP-Adressen stammen. An zweiter Stelle liegen die USA. Damit war der mittlerweile 15 Jahre alte Wurm weltweit immer noch für etwa jede hundertste mit Malware verseuchte E-Mail verantwortlich.
Einzelnachweise
- 1 2 3 4 5 6 welt.de Computervirus Mydoom legt Websites lahm - 1. Februar 2004
- 1 2 3 4 5 6 7 heise.de Neuer Wurm Novarg/Mydoom verbreitet sich schnell - 27. Januar 2004
- 1 2 3 4 5 heise.de Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen - 27. Januar 2004
- 1 2 derstandard.at Mydoom der schädlichste Internetvirus überhaupt - 13. Februar 2004
- 1 2 3 4 5 6 7 faz.net Mydoom richtet Milliardenschäden an - 3. Februar 2004
- ↑ tomsnetworking.de McAfee warnt vor Virus Mydoom.bb@MM
- ↑ rp-online.de IT-Sicherheitsfirma verfolgt erste Mails zurück: PC-Virus Mydoom soll aus Russland kommen - 30. Januar 2004
- ↑ derstandard.at Mydoom vermutlich in Russland in die Welt gesetzt: IT-Sicherheitsfirma verfolgt Ursprung der ersten Mails zurück - 10. Februar 2004
- ↑ pressebox.de MYDOOM auf "High-Outbreak" aufgrund der starken Verbreitung - Network Associates AVERT™ warnt vor W32/Mydoom@MM - 26. Januar 2004
- ↑ heise.de Tückischer Wurm bricht über MyDoom-Hintertür ein - 9. Februar 2004
- ↑ faz.net Neuer Computerwurm Doomjuice breitet sich aus - 10. Februar 2004
- ↑ ksta.de Neuer Computer-Virus unterwegs - 10. Februar 2004
- ↑ f-secure.com Email-Worm:W32/MyDoom.G - 4. März 2004
- ↑ heise.de MyDoom überlastet Suchmaschinen - 27 Juli 2004
- ↑ wired.com Lazy Hacker and Little Worm Set Off Cyberwar Frenzy - 8. Juli 2009
- ↑ omicron.ch Palo Alto Networks: Der Wurm MyDoom auch 2019 immer noch aktiv - 26. Juli 2019
Weblinks
- minitool.com Review: MyDoom Virus - The Most Destructive & Fastest Email Worm - 3. März 2021