Manche bezeichnen MyDoom als Virus.Manche nennen sie einen Wurm. Einige verwenden die Schreibweise My Doom. Und andere kennen sie als den Doom-Virus. 

Ganz gleich wie Sie sie nennen oder buchstabieren: MyDoom ist gefährlich. Dieses kleine bisschen Code verbreitet sich als E-Mail-Anhang von einem Computer auf den anderen. Sobald Sie die angehängten Daten öffnen, nistet sich das Programm auf Ihrem Computer ein. Und bald erhält jeder Kontakt Ihres Adressbuches eine Nachricht von Ihrem Computer. 

2004 erschien MyDoom das erste Mal auf der Bildfläche – und auch wenn die Angriffe von damals der Vergangenheit angehören, gibt es noch immer zahlreiche infizierte Computer. Deshalb sollten Sie verstehen, wie dieser Wurm funktioniert und wie Sie Ihren Computer davor schützen können. 

Entwicklung des MyDoom-Virus 

Im Januar und Februar 2004 erhielten Menschen auf der ganzen Welt mysteriöse E-Mail-Nachrichten, in denen es hieß: „Ich mache nur meine Arbeit, nichts Persönliches, tut mir leid”. Jede E-Mail hatte einen Anhang – und jedes Mal, wenn der Empfänger seine Inbox prüfte, wartete bereits die nächste Kopie. Das war der MyDoom-Virus. 

MyDoom ist ein hoch infektiöser Wurm mit dem Ziel, aus Hunderttausenden von Computern Zombies zu machen. Hacker könnten dann jeden infiltrierten Terminal nutzen und so ausgewählte Unternehmen mit einer Denial-of-Service-Attacke (DoS) angreifen. 

2004 wusste niemand, wer hinter dem Code steckte. Einige waren der Meinung, MyDoom ähnele anderen aus Russland stammenden Würmern. Aber denken heißt nicht wissen – und schlussendlich war nicht klar, wer diesen Code entwickelt hatte und warum. 

Aber in einem waren sich die Experten einig: MyDoom war gefährlich. Die Journalisten beschrieben den Code als:

• Schnell. Kein anderer Virus verbreitete sich so rasant. 
• Effektiv. MyDoom infizierte mehr als 500.000 Geräte in nur einer Woche. 
• Teuer. Der Schaden belief sich auf 38,5 Milliarden USD, wenn nicht mehr. 

Der Virus zielte auf Hostrechner und die meisten Cleanup-Reports fokussierten vor allem die Mittel und Wege, den Code zu eliminieren. Doch zwei Unternehmen waren die wahren Opfer. 

In seiner ersten Version bombardierte der Wurm über eine Reihe infizierter Computer die SCO Group mit unzähligen Homepage-Requests. Das Unternehmen konnte diese Art von Traffic nicht bewältigen und die Webseite stürzte ab. Nach einer Stunde kontinuierlicher Angriffe änderte das Unternehmen die Adresse seiner Webseite.

Die zweite Version des Wurms hatte zwei Kernfunktionen.

• Angreifen: Die infizierten Computer attackierten die Webseite von Microsoft.
• Schützen: Nach der Infektion konnten die Computer nicht länger auf 65 verschiedene Antiviren-Webseiten zugreifen. Kurz gesagt: Der Wurm hielt die Leute davon ab, ihre Computer zu bereinigen. 

Bereits bevor MyDoom aktiv war, ahnten die Experten, dass so ein Angriff möglich war. Doch sie wussten nicht, wie er aussehen oder funktionieren würde, oder wie die Nutzer ihre Computer säubern könnten. All das würden sie in den nächsten Monaten erfahren.

Wie funktioniert MyDoom? 

Die Nutzer der infizierten Computer hatten nicht die geringste Ahnung, was los war. Vielleicht fiel ihnen auf, dass ihr Computer langsamer lief oder ein Service nicht richtig funktionierte. Sie erhielten aber wahrscheinlich keine Alarmmeldung oder Warnung, dass etwas mit ihrem Computer nicht stimmte. Doch währenddessen ermöglichte ein Code, der tief in der Windows-Umgebung verankert war, dem Wurm, sich zu verbreiten. 

Der MyDoom-Wurm im Überblick:

• Download. Mit dem Öffnen des Anhangs gelangt der Wurm in die Windows-Umgebung. Sein Ziel sind ausschließlich Nutzer, die mit Windows arbeiten. 
• Verbreitung. Der Code nimmt die auf dem Computer des Opfers gespeicherten Kontakte ins Visier. Jede gefundene Adresse erhält eine E-Mail mit einer neuen Version des Wurms im Anhang. 
• Start des Angriffs. Zu einem festgelegten Zeitpunkt stoßen die infizierten Computer unzählige Requests an die Webseite der SCO Group oder von Microsoft an. 
• Nachspiel. Die Angreifer lassen eine Hintertür geöffnet, für den Fall, dass sie erneut zuschlagen wollen. 

Einer Sache müssen sich Nutzer bewusst sein: Auch wenn Würmer eine spezielle Webseite attackierten, läuft ihr Code nicht aus und deinstalliert sich nicht einfach. Ihr Computer könnte betroffen sein, oder vielleicht ist auch das Gerät, an dem Sie arbeiten, infiziert – und Sie erinnern sich nicht einmal daran, eine Nachricht geöffnet zu haben. 

Kann MyDoom auch Ihnen schaden? 

MyDoom öffnet auf jedem Computer, den er befällt, einen Rückkanal, den die Hacker theoretisch ausnutzen können. Plötzlich wären Sie Teil eines Zombieangriffs. 

Die Anzeichen für eine solche Attacke sind eigentlich nicht zu übersehen:

• Ihr Computer wird langsam. Das Öffnen, Schließen, Speichern oder Ausführen von Windows-Dateien dauert wesentlich länger als gewöhnlich. 
• Er verhält sich unberechenbar. Wenn Ihr Computer plötzlich willkürlich Nachrichten an Ihr Adressbuch sendet, werden die ersten genervten Antworten nicht lange auf sich warten lassen. 
• Ihr Admin wird Sie ansprechen. Wenn Sie in einem Unternehmensnetzwerk arbeiten, dann wird sich Ihr Admin früher oder später wundern, warum Ihre Arbeit so viel Bandbreite benötigt. 

Doch vielleicht bemerken Sie auch nichts davon. Möglicherweise ist Ihr Computer auch nie wieder Teil eines Angriffs auf ein Unternehmen oder eine Landesregierung. Doch die Hintertür steht offen – und wartet nur auf einen Hacker, der seine Chance ergreift. Und solange Sie nichts tun, besteht dieses Risiko.

Wie Sie sich vor MyDoom schützen können 

Sollten Sie befürchten, dass MyDoom auch Sie infiziert hat, dann suchen Sie das Problem und beheben es. Und dann leiten Sie die richtigen Präventionsmaßnahmen ein, damit das nie wieder passiert. 

Wenn Sie glauben, Ihr Computer ist infiziert:

• Löschen Sie die Datei. Journalisten zufolge befindet sie sich in der Regel unter: %system%\drivers\etcwhere %system% is the Windows system file — C:\windows\system32 for Windows XP, C:\winnt\system32 for NT/2000, or C:\windows\system for Windows 9x/Me.
• Aktualisieren Sie Windows. Der Wurm befällt bekanntermaßen nur Computer, die mit Windows arbeiten. Wenn Sie nicht die neueste Version von Windows nutzen, sollten Sie das ändern. 
• Starten Sie einen Viren-Scan. Laden Sie für Ihre Antiviren-Software das neueste Patch herunter, um auch aktuelle Threats zu erkennen. Führen Sie dann eine Komplettreinigung Ihres Systems durch. 
• Gehen Sie auf Nummer sicher. Erkundigen Sie sich bei Kontakten aus Ihrem Adressbuch, ob Sie ihnen verdächtige Nachrichten geschickt haben. Rufen Sie dann bekannte Antiviren-Webseiten auf und versuchen Sie sie zu laden. 
• Wiederholen Sie die Maßnahmen. Sollte Ihr Computer noch immer infiziert sein, fangen Sie nochmal von vorne an. 

Würmer wie MyDoom sind darauf angewiesen, dass Sie den Virus downloaden. Das heißt, Sie können der Infektion ganz einfach vorbeugen. Angefangen bei den Adressen der Absender. Wenn Sie Nachrichten von Leuten bekommen, die Sie nicht kennen, öffnen Sie diese gar nicht erst. Und klicken Sie niemals auf die Anhänge verdächtiger E-Mails. 

Sind Sie für die Security in einem großen Unternehmen verantwortlich, dann geben Sie diese Regeln auch unbedingt an Ihre Mitarbeiter weiter. Fordern Sie sie auf, Ihnen alles zuzuschicken, was verdächtig erscheint, damit Sie es für sie prüfen können.

Zusammenarbeit mit Okta 

Mit den Security-Lösungen von Okta reduzieren Sie nicht nur Ihre Angriffsfläche, sondern gewähren auch den richtigen Personen Zugriff zu den Ressourcen, die sie brauchen. Erfahren Sie mehr darüber, wie wir großen und kleinen Unternehmen helfen, ihre Security auf ein neues Level zu heben.

Referenzen

Who Made MyDoom? (Februar 2004). New Scientist. 

More Doom? (February 2004). Newsweek. 

MyDoom Shows Vulnerability of the Web. (Februar 2004). Network Computing. 

Update: New Mydoom Worm Discovered. (Januar 2004). Computerworld.

Worm:W32/MyDoom. F-Secure. 

MyDoom: The 15-Year-Old Malware That's Still Being Used in Phishing Attacks in 2019. (Juli 2019). ZD Net.

How to Thwart Renewed "MyDoom" Email Bug. (Januar 2006). ABC News.