hoch
Übersicht
Übersicht
Maßnahme- Weitere Informationen
| Schutz erhältlich seit | 28 Januar 2004 19:34:20 (GMT) |
|---|---|
| Letztes Update | 30 Januar 2004 15:41:21 (GMT) |
| Erkannt von | Alle Sophos Produkte |
Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Maßnahme
- Übersicht
- Maßnahme
- Weitere Informationen
Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.
Bitte lesen Sie die Hinweise zum Entfernen von W32/MyDoom-B.
Weitere Informationen
W32/MyDoom-B ist ein Wurm, der sich per E-Mail verbreitet. Wenn das infizierte
Attachment gestartet wird, sucht der Wurm nach E-Mail-Adressen in Adressbüchern
und in Dateien mit folgenden Erweiterungen: WAB, TXT, HTM, SHT, PHP, ASP, DBX,
TBB, ADB und PL.
W32/MyDoom-B erstellt eine Datei namens Message im temp-Ordner und startet
Notepad, um den Inhalt anzuzeigen, der aus zufällig gewählten Zeichen besteht.
W32/MyDoom-B verwendet zufällig gewählte E-Mail-Adressen in den Empfänger- und
Sender-Feldern sowie eine zufällig gewählte Betreffzeile. E-Mails, in denen
dieser Wurm verbreitet wird, haben folgende Merkmale:
Betreffzeilen
Mail Transaction Failed
Unable to deliver the
message
Status
Delivery Error
Mail Delivery
System
hello
hi
Error
Server Report
Returned mail
[zufällige
Auswahl an Zeichen]
Texte
The message cannot be represented in 7-bit ASCII encoding and
has been sent as a binary attachment.
sendmail daemon reported:
Error #804
occured during SMTP session. Partial message has been received.
The message
contains Unicode characters and has been sent as a binary attachment.
The
message contains MIME-encoded graphics and has been sent as a binary
attachment.
Mail transaction failed. Partial message is available.
Attachment-Namen
body
text
document
data
file
readme
message
doc
[zufällige
Auswahl an Zeichen]
Die angehängten Dateien können eine oder zwei Erweiterungen haben. Die erste
Erweiterung kann DOC, TXT oder HTM sein, die zweite BAT, CMD, EXE, PIF, SCR oder
ZIP.
Der Wurm kann sich auch mit einem der folgenden Dateinamen und einer PIF-, EXE-,
SCR- oder BAT-Erweiterung in den freigegebenen Ordner der KaZaA
Peer-to-Peer-Anwendung kopieren:
NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final
W32/MyDoom-B erstellt eine Datei namens explorer.exe im System-Ordner und fügt
den folgenden Eintrag zur Registrierung hinzu, so dass diese Datei beim Start
von Windows aktiviert wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
=
<systemordner>\explorer.exe
Bitte beachten Sie, dass es im Windows-Ordner eine legitime Datei namens
explorer.exe gibt.
W32/MyDoom-B legt außerdem eine Datei namens ctfmon.dll im Systemordner ab. Es
handelt sich dabei um ein Backdoor-Programm, das von dem Wurm geladen wird und
mit dem sich Außenstehende mit TCP Port 1080 verbinden können. Die DLL fügt den
folgenden Eintrag zur Registrierung hinzu, so dass sie beim Start aktiviert
wird:
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
Default=
"<Speicherort der dll>"
Zwischen dem 1. Februar und dem 1. März 2004 besteht eine Wahrscheinlichkeit von
20 Prozent, dass der Wurm versucht, eine Denial-of-Service-Attacke gegen
www.sco.com zu starten, indem er zahlreiche GET-Anfragen an diesen Webserver
sendet. Zwischen dem 3. Februar und dem 1. März 2004 besteht eine
Wahrscheinlichkeit von 30 Prozent, dass der Wurm versucht, dieselbe
Denial-of-Service-Attacke gegen www.microsoft.com zu starten.
Im Code des Wurms ist folgendes Textstück versteckt, das jedoch nicht angezeigt wird: (sync-1.01; andy; I'm just doing my job, nothing personal,
sorry)
Nach dem 1. März verbreitet sich W32/MyDoom-B nicht mehr, da in seinem Code ein
Auslaufdatum eingestellt ist. Allerding startet er dann noch immer die
Backdoor-Komponente.
W32/MyDoom-B erstellt eine Datei namens hosts im Windows-Ordner. Damit
beabsichtigt er, dass der Computer die folgenden Websites nicht mehr
kontaktieren kann:
engine.awaps.net
awaps.net
www.awaps.net
ad.doubleclick.net
spd.atdmt.com
atdmt.com
click.atdmt.com
clicks.atdmt.com
media.fastclick.net
fastclick.net
www.fastclick.net
ad.fastclick.net
ads.fastclick.net
banner.fastclick.net
banners.fastclick.net
www.sophos.com
sophos.com
ftp.sophos.com
f-secure.com
www.f-secure.com
ftp.f-secure.com
securityresponse.symantec.com
www.symantec.com
symantec.com
service1.symantec.com
liveupdate.symantec.com
update.symantec.com
updates.symantec.com
support.microsoft.com
downloads.microsoft.com
download.microsoft.com
windowsupdate.microsoft.com
office.microsoft.com
msdn.microsoft.com
go.microsoft.com
nai.com
www.nai.com
vil.nai.com
secure.nai.com
www.networkassociates.com
networkassociates.com
avp.ru
www.avp.ru
www.kaspersky.ru
www.viruslist.ru
viruslist.ru
avp.ch
www.avp.ch
www.avp.com
avp.com
us.mcafee.com
mcafee.com
www.mcafee.com
dispatch.mcafee.com
download.mcafee.com
mast.mcafee.com
www.trendmicro.com
www3.ca.com
ca.com
www.ca.com
www.my-etrust.com
my-etrust.com
ar.atwola.com
phx.corporate-ir.net
www.microsoft.com
|
