hoch
Übersicht
Übersicht
Maßnahme- Weitere Informationen
| Betroffene Betriebssysteme | Windows |
|---|---|
| Schutz erhältlich seit | 27 Januar 2004 00:31:29 (GMT) |
| Letztes Update | 22 Juli 2010 01:45:15 (GMT) |
| Erkannt von | Alle Sophos Produkte |
Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Maßnahme
- Übersicht
- Maßnahme
- Weitere Informationen
Befolgen Sie bitte die Anweisungen zur Desinfektion von PE-Dateien.
Bitte lesen Sie die Hinweise zum Entfernen von W32/MyDoom-A.
Weitere Informationen
W32/MyDoom-A ist ein Wurm, der sich per E-Mail verbreitet. Wenn das infizierte Attachment gestartet wird, sucht der Wurm nach E-Mail-Adressen in Adressbüchern und in Dateien mit folgenden Erweiterungen: WAB, TXT, HTM, SHT, PHP, ASP, DBX, TBB, ADB und PL.
W32/MyDoom-B erstellt eine Datei namens Message im temp-Ordner und startet Notepad, um den Inhalt anzuzeigen, der aus zufällig gewählten Zeichen besteht.
W32/MyDoom-B verwendet zufällig gewählte E-Mail-Adressen in den Empfänger- und Sender-Feldern sowie eine zufällig gewählte Betreffzeile. E-Mails, in denen dieser Wurm verbreitet wird, haben folgende Merkmale:
Betreffzeilen, u.a.:
error
hello
hi
mail delivery system
mail transaction failed
server report
status
test
[zufällig gewählte Zeichen]
Texte
test
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
Attachment-Namen,
u.a.:
body
data
doc
document
file
message
readme
test
[zufällig
gewählte Zeichen]
Die angehängten Dateien haben die Erweiterungen BAT, CMD, EXE, PIF, SCR oder ZIP.
W32/MyDoom-A ist so programmiert, dass er sich nicht per E-Mail weiterleitet, wenn die E-Mail-Adresse des Empfängers zwei Bedingungen erfüllt:
- Der Wurm sendet sich nicht an E-Mail-Adressen, die folgende Zeichenfolgen enthalten: acketst, arin., avp, berkeley, borlan, bsd, example, fido, foo., fsf., gnu, google, .gov, gov., hotmail, iana, ibm.com, icrosof, ietf, inpris, isc.o, isi.e, kernel, linux, math, .mil, mit.e, mozilla, msn., mydomai, nodomai, panda, pgp, rfc-ed, ripe., ruslis, secur, sendmail, sopho, syma, tanford.e, unix, usenet, utgers.ed
Als Folge leitet sich der Wurm an zahlreiche Domänen nicht weiter, darunter verschiedene Antiviren-Unternehmen und Microsoft.
- Der Wurm sendet sich nicht an E-Mail-Adressen, in denen der Benutzername folgende Zeichenfolgen enthält: abuse, anyone, bugs, ca, contact, feste, gold-certs, help, info, me, no, noone, nobody, not, nothing, page, postmaster, privacy, rating, root, samples, secur, service, site, spm, soft, somebody, someone, submit, the.bat, webmaster, you, your, www
- Der Wurm sendet sich auch nicht an E-Mail-Adressen mit folgenden Zeichenfolgen: admin, accoun, bsd, certific, google, icrosoft, linux, listserv, ntivi, spam, support, unix
Der Wurm kann sich in den freigegebenen Ordner der KaZaA Peer-to-Peer-Anwendung mit einem der folgenden Dateinamen und der Erweiterung PIF, EXE, SCR oder BAT kopieren:
activation_crack
icq2004-final
nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
winamp5
W32/MyDoom-A erstellt eine Datei namens taskmon.exe im System- oder temp-Ordner und fügt den folgenden Registrierungseintrag hinzu, so dass diese Datei jedes Mal ausgeführt wird, wenn Windows gestartet wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Taskmon = taskmon.exe
Bitte beachten Sie, dass es auf Windows 95/98/Me eine legitime Datei namens taskmon.exe im Windows-Ordner gibt.
W32/MyDoom-A legt außerdem eine Datei namens shimgapi.dll im temp- oder system-Ordner ab. Dies ist ein Backdoor-Trojaner, der von dem Wurm geladen wird und durch den sich Außenstehende mit dem TCP Port 3127 verbinden können. Die DLL fügt den folgenden Registrierungseintrag hinzu, so dass sie beim Start aktiviert wird:
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\
Default= "<Speicherort der dll>"
Der Wurm fügt außerdem die folgenden Einträge zur Registrierung hinzu:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
Zwischen dem 1. und dem 12. Februar 2004 versucht der Wurm, eine Denial-of-Service-Attacke gegen www.sco.com zu starten, indem er zahlreiche
GET-Anfragen an den Webserver sendet.
Nach dem 12. Februar verbreitet sich W32/MyDoom-A nicht mehr, da in seinem Code ein Auslaufdatum festgesetzt ist. Allerdings ist dann immer noch die Backdoor-Komponente aktiv.
Weitere Informationen: MyDoom verbreitet sich mit hoher Geschwindigkeit im Internet
|
