Gloucester (pte, 26. Feb 2004 17:15) - Der Managed-Service-Provider für E-Mail-Sicherheit MessageLabs http://www.messagelabs.com hat zahlreiche Exemplare einer neuen Migration des Mydoom-Wurms abgefangen. Mit W32/Mydoom.F-mm taucht erstmals ein Vertreter aus dem Hause Mydoom auf, der infizierte Rechner gezielt nach bestimmten Dateitypen durchsucht, um diese anschließend zu löschen.
Der jüngste Spross der Mydoom-Familie sucht gezielt nach Bilddateien oder Filmen und löscht diese anschließend von der Festplatte. Dazu initiiert er im Abstand von 32 Sekunden Scans sämtlicher Ordner und Dateien, die auf den Laufwerken C bis Z abgelegt sind. Files über 40 Bytes bleiben unangetastet. Wird diese Datengröße jedoch überschritten, werden diese Dateien nach E-Mail-Adressen durchsucht. Sind die enthaltenen Adressen extrahiert, versieht sie der Wurm mit einem Index und vernichtet sie.
Mydoom.F wurde erstmals in Großbritannien gesichtet und ist ein Massenmailer. Er verbreitet sich über eine integrierte SMTP-Engine sowie via Peer-to-Peer-Netzen. Auch diese Migration ist darauf trainiert eine DoS-Attacke auf Microsoft zu starten. Das neue, zweite Angriffsziel ist diesmal aber die offizielle Seite der Recording Industry Association of America.
Junior-Mydoom verbreitet sich zwar deutlich langsamer als der "Erstgeborene", seine Payload übertrifft aber sogar den Turbo-Wurm Mydoom.A. Beim Klonen überschreibt er Teile seines Executables mit zufälligen Daten. Dadurch erscheint die Datei variabel mit einer Größe von 28.000 Bytes bis etwa einem KB. Zum Abschluss seiner Aktivitäten öffnet die Malware noch einen Backdoor auf Port 1080.
