Weiterhin aktiv
Computerwurm MyDoom treibt nach wie vor weltweit sein Unwesen
Deutschland an Platz 4 der bevorzugten Angriffsziele
Unit 42, die Malware-Security-Forschungsabteilung von Palo Alto Networks, hat neue Forschungsergebnisse zur Cyberbedrohung MyDoom veröffentlicht. MyDoom ist ein berüchtigter Computerwurm, der erstmals Anfang 2004 entdeckt wurde. Diese Malware landete bereits unter den Top Ten der zerstörerischsten Computerviren – mit einem bis dato geschätzten Schaden von 38 Milliarden US-Dollar. Obwohl seine Blütezeit inzwischen lange zurückliegt, ist der Wurm weiterhin präsent in der Cyberbedrohungslandschaft. So haben die Forscher von Palo Alto Networks beispielsweise erst 2017 die Aktivitäten MyDoom in einem Threat Report dokumentiert, der sich auf die EMEA-Region konzentrierte.
Das Auftreten von MyDoom ist in den letzten Jahren (2015 bis 2018) relativ konstant geblieben und machte bei den Kunden von Palo Alto Networks durchschnittlich etwa 1,1 Prozent aller E-Mails aus, die Anhänge mit Malware enthielten. Die Verbreitung von MyDoom erfolgt über E-Mail via SMTP. Bei der Überprüfung einzelner Malware-Samples im gleichen Zeitraum lag MyDoom bei durchschnittlich 21,4 Prozent aller individuellen Malware-Anhänge, die in bösartigen E-Mails enthalten waren. MyDoom ist polymorph und neigt dazu, für jede E-Mail unterschiedliche Datei-Hashes zu verwenden. Während die Anzahl der MyDoom-E-Mails relativ gering ist, ist die Anzahl der Samples im Vergleich zu anderer Malware, die über E-Mail verbreitet wird, vergleichsweise höher.
Deutschland an Platz Vier der Zieldestinationen
Die Forscher von Palo Alto Networks erfassen weiterhin jeden Monat Zehntausende von MyDoom-Samples. Die MyDoom-Aktivitäten im ersten Halbjahr 2019 zeigen einen ähnlichen Durchschnitt wie das gesamte Jahr 2018, mit einem etwas höheren Prozentsatz an E-Mails und Malware-Samples.
- Die überwiegende Mehrheit der MyDoom-E-Mails stammt von IP-Adressen, die in China registriert sind, gefolgt von den USA. Diese E-Mails werden an Empfänger auf der ganzen Welt verschickt, vor allem an Branchen wie High-Tech, Groß- und Einzelhandel, Gesundheitswesen, Bildungswesen und Fertigung.
- Die Quell-IP-Adressen der fünf wichtigsten Länder, die in den ersten sechs Monaten des Jahres 2019 erfasst wurden, waren: China (349.454 E-Mails), USA (18.590 E-Mails), Großbritannien (10.151 E-Mails), Vietnam (4.426 E-Mails), Südkorea und (2.575 E-Mails).
- Die fünf wichtigsten Zielländer waren: China (72.713 E-Mails), USA (56.135 E-Mails), Taiwan (5.628 E-Mails), Deutschland (5.503 E-Mails) und Japan (5.105 E-Mails).
MyDoom verwandelt Windows-Rechner in Spambots
Anhänge aus diesen E-Mails sind ausführbare Dateien oder Zip-Archive, die wiederum ausführbare Dateien enthalten. MyDoom-Malware verwandelt einen infizierten Windows-Rechner in einen bösartigen Spambot, der dann wieder MyDoom-E-Mails an verschiedene E-Mail-Adressen sendet. Dies geschieht auch dann, wenn der infizierte Windows-Rechner keinen Mail-Client hat. Ein weiteres Merkmal von MyDoom sind versuchte Verbindungen zu verschiedenen IP-Adressen über den TCP-Port 1042.
MyDoom wurde 2004 erstmals beobachtet und ist heute noch aktiv, ein Beweis für seine ursprünglich große, anhaltende Zerstörungskraft. Im Laufe der Jahre ist genügend Infrastruktur infiziert geblieben, sodass MyDoom weiterhin in der heutigen Bedrohungslandschaft vertreten ist. Obwohl ein relativ kleiner Prozentsatz der Malware-basierten E-Mails MyDoom enthält, bleibt diese Malware ständig präsent. Sowohl China als auch die USA sind die Hauptempfänger von MyDoom-E-Mails, obwohl die Verbreitung nach wie vor global ist und viele andere Länder – wie eben auch Deutschland – betrifft.
Alle aktuellen Information zu laufenden Angriffe mit „MyDoom“ finden Sie hier .
