Der spanische Security-Spezialist Panda Software http://www.pandasoftware.com warnt vor neuen Varianten des
Mytob-Wurms. Alle Migrationen (S, U und W) haben
Backdoor-Trojaner-Charakteristiken und öffnen eine Hintertür im Computer über
die Server "19.xxor.biz und "irc.blackcarder.net". Auf diese Weise ermöglichen
sie ihrem Programmierer die Kontrolle über jeden infizierten Computer zu
übernehmen.
Laut Panda ist die gefährlichste Eigenschaft des Wurms seine Fähigkeit die
Host-Dateien zu manipulieren. So kann er den Zugriff auf Webseiten von
Antivirenherstellern blockieren. Auf diese Weise ist ein infizierter Rechner
nicht mehr in der Lage Aktualisierungen herunter zu laden. Mytob verbreitet sich
via E-Mail mit einem Dateianhang (.bat, .exe, .pif, .scr oder .zip). Das
Attachement mit dem Wurm kann den Namen Data, Doc, Document, File, Readme, Text
oder Body haben und sendet sich an alle Adressen, die der Wurm im System findet.
Um zu verhindern, dass mehrere Kopien des Wurms zur selben Zeit auf dem
System laufen, erstellt er verschiedene "Mutex" (Mutual Exclusion). Das
Verfahren verhindert, dass nebenläufige Prozesse gleichzeitig auf Daten
zugreifen und so unter Umständen inkonsistente Zustände herbeiführen. Die
Version S erstellt die Mutex "ggmutexk2", die U-Variante erzeugt "ggmutexk1".
Variante U nutzt die Mutex H-E-L-L-B-O-T-2-BY-DIABLO und die W-Variante von
Mytob legt die Mutex H-E-L-L-B-O-T an.
Weil alle Migrationen die
Kontrolle über IT-Systeme erlauben ist es nahe liegend, dass die Autoren durch
eine weite Streuung versuchen ein Netzwerk zu infizieren, in dem alle Rechner
zur selben Zeit kontrolliert werden können. Es würde ihnen laut Panda gestatten,
weitere Malware wie Keylogger oder Spyware zu installieren. Weiters können die
infizierten Rechner zum Versenden von Spam missbraucht werden.