Moskau (pte, 11. Feb 2004 17:55) - Der russische Sicherheitsexperte Kaspersky Labs http://www.kaspersky.com warnt vor einer neuen Version des Internent-Wurms "Doomjuice". Die neue Migration "Doomjuice.b" führt einen Internet-Scan nach Computern durch, die mit den Würmern "Mydoom.a" oder "Mydoom.b" infiziert sind. Über den "Mydoom"-Port 3127 stellt er eine Verbindung mit dem bereits infizierten Rechner her und lässt seinen Klon durch den offenen Port schlüpfen. Danach startet er die Trojaner-Komponente von "Mydoom".
Gleichzeitig führt er eine DoS-Attacke auf die Website von Microsoft durch. Dazu kopiert er sich beim Öffnen, unter dem Namen "EGEDIT.EXE", in den System-Katalog von Windows und registriert die Datei im AutoExe-Schlüssel des System-Registers. Der Wurm überprüft das Datum und sendet dann auf den 80sten Port der Site www.microsoft.com eine Vielzahl von Anfragen.
Einzigartig ist die Technologie, die der Wurm für die Generierung von Anfragen an den Server verwendet. Die Anfrage-Zeile imitiert das Anfrage-Format des Internet-Explorers. Somit wird ein Blockieren der infizierten Computer ausgeschlossen, da nicht ein einziges Netzwerk-Filtermittel die Anfrage eines Anwenders von denen des Wurms unterscheiden kann. Diese neue Funktionalität erhöht den destruktiven Effekt der Attacke. Eine weitere Verbreitung der Malware könnte die Leistungsfähigkeit der Internet-Ressourcen von Microsoft in Frage stellen.
