W32/MyDoom-O

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

Bitte lesen Sie die Hinweise zum Entfernen von W32/MyDoom-O.

W32/MyDoom-O ist ein Massmailing-Wurm, der sich verbreitet, indem er sich mittels seiner eigenen SMTP-Engine versendet. Der Wurm ermöglicht unbefugten Fernzugriff auf den Computer über ein Netzwerk. Wenn er erstmals ausgeführt wird, kopiert er sich als java.exe entweder in den Windows- oder in den Temp-Ordner. Außerdem fügt er folgende Einträge zur Registrierung hinzu, damit die Kopie bei jedem Start von Windows aktiviert wird: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\JavaVM
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\JavaVM W32/MyDoom-O erstellt auch eine Datei namens services.exe im Windows- oder Temp-Ordner und startet die Datei. Services.exe ist die Backdoor-Komponente von W32/MyDoom-O W32/MyDoom-O durchsucht die Festplattte nach E-Mail-Adresssen. Dabei sucht der Wurm nach Dateien mit den Erweiterungen PL*, PH*, TX*, HT*, ASP, TBB, SHT*, WAB, ADB und DBX sowie im Windows-Adressbuch. Zusätzlich kann der Wurm mit Hilfe von Internet-Suchmaschinen weitere E-Mail-Adressen aufspüren. Der Wurm sendet eine Anfrage an die Suchmaschine, wobei er Domänennamen aus E-Mail-Adressen verwendet, die er auf der Festplatte gefunden hat, und sucht dann in den Suchergebnissen nach weiteren E-Mail-Adressen. Die Internet-Suchmaschinen, die W32/MyDoom-O verwendet sowie die Wahrscheinlichkeit, dass sie von ihm verwendet werden, sind folgende: www.google.com (45%)
search.lycos.com (22.5%)
search.yahoo.com (20%)
www.altavista.com (12.5%) Bei der Auswahl der Adressen, an die er sich sendet, vermeidet W32/MyDoom-O Adressen, die eine der folgenden Zeichenfolgen enthalten: mailer-d
spam
abuse
master
sample
accoun
privacycertific
bugs
listserv
submit
ntivi
support
admin
page
the.bat
gold-certs
ca
feste
not
help
foo
no
soft
site
rating
me
you
your
someone
anyone
nothing
nobody
noone
info
winrar
winzip
rarsoft
sf.net
sourceforge
ripe.
arin.
google
gnu.
gmail
seclist
secur
bar.
foo.com
trend
update
uslis
domain
example
sophos
yahoo
spersk
panda
hotmail
msn.
msdn.
microsoft
sarc.
syma
avp Die von dem Wurm versendete E-Mail hat einen gefälschten Sender. Die Betreffzeile kann leer oder eine der folgenden sein: hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error Der Text der E-Mail ist zusammegesetzt aus mehreren optionalen Zeichenfolgen des Wurms. Die gesendete E-Mail ist leer oder ähnelt einem der folgenden: Dear user of <Domäne>
Mail server administrator of <Domäne> would like to inform you that
We have detected that your e-mail account has been used to send a large
amount of unsolicited e-mail messages during this recent week.
We suspect that your computer had been compromised by a recent virus and now
runs a trojan proxy server.
Please follow our instructions in the attachment file
in order to keep your computer safe.
Virtually yours
<Domäne> user support team. The message could not be delivered The original message was included as attachment The original message was received at <Uhrzeit> from <Adresse>
----- The following addresses had permanent fatal errors -----
<Adresse>
----- Transcript of the session follows -----
... while talking to host <Hostname>:
>>> MAIL From:<Adresse>
<<< 501 User unknown
Session aborted
>>> RCPT To:<Adresse>
<<< 550 MAILBOX NOT FOUND The message was undeliverable due to the following reason(s):
Your message was not delivered because the destination computer was
not reachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.
Your message was not delivered within <number> days:
Mail server <hostname> is not responding.
The following recipients did not receive this message:
<address>
Please reply to postmaster@<domain>
if you feel this message to be in error. Die angehängte Datei kann einen Namen haben, der dem des Benutzernamens oder der Domäne des Empfängers ähnelt oder einen der folgenden:
readme
instruction
transcript
mail
letter
file
text
attachment
document
message Die Dateierweiterung ist optional DOC, TXT, HTM, HTML plus der finalen Erweiterung EXE, COM, BAT, CMD, SCR oder PIF. Die angehängte Datei kann auch eine Zip-Datei sein, die eine Datei enthält wie die oben erläuterte.