Mimail folgt auf Sobers Spuren

Nachdem seit Beginn der letzten Woche ein Internetwurm mit dem Namen Sober vor allem im deutschsprachigen Raum für Aufsehen sorgt, droht nun weiteres Ungemach durch einen Schädling mit dem Namen Mimail. Erstmals tauchte die neue Variante des Wurmes am vergangenen Freitag im weltweiten Datennetz auf und verbreitet sich seitdem schnell weiter. Dies geht aus einer Warnung hervor, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben hat.

Wie Sober besitzt auch der Mimail-Wurm eine eigene SMTP-Machine, mit deren Hilfe er sich an E-Mail-Adressen weiterverschickt, die er auf dem infizierten Computersystem finden kann. Der Schädling, der in zwei Varianten auftritt, kann relativ leicht an den Betreffzeilen Re[2]: our private photos bzw. don't be late! identifiziert werden. Im Anhang schickt der Wurm entweder eine Datei unter dem Namen photos.zip oder readnow.zip mit sich. Bei der Infektion des Systems kopiert sich Mimail unter dem Namen netwatch.exe in das Windows-Verzeichnis. Durch einen Eintrag in der Registrierung wird dafür gesorgt, dass bei jedem Neustart des Rechners der Wurm mitgestartet wird. Zusätzlich werden zwei weitere Dateien im Windows-Verzeichnis abgelegt: zip.tmp (12 958 Bytes) und exe.tmp (12 832 Bytes).

Wie es weiter heißt, richtet der Schädling auf dem System des Opfers direkt offenbar keinen Schaden an, er versucht aber auf diverse Internetadressen einen Denial-of-Service-Angriff zu starten. Von Symantec wird inzwischen ein Tool [Link entfernt] angeboten, mit dessen Hilfe der infizierte Computer von dem Wurm bereinigt werden kann.