net-board.net Archiv
W32/MyDoom-A Virus - Druckversion

+- net-board.net Archiv (https://net-board.net)
+-- Forum: Deine eigene Homepage (https://net-board.net/forumdisplay.php?fid=26)
+--- Forum: Grundlagen (https://net-board.net/forumdisplay.php?fid=13)
+--- Thema: W32/MyDoom-A Virus (/showthread.php?tid=3566)



W32/MyDoom-A Virus - cHAp - 27.01.2004

Alias
Mimail.R, Novarg.A, Shimg, W32.Novarg.A@mm, W32/Mydoom@MM

Typ
Win32-Wurm

Erläuterung
W32/MyDoom-A ist ein Wurm, der sich per E-Mail verbreitet. Der Wurm sammelt
E-Mail-Adressen auf der Festplatte des Anwenders und verwendet in seinen E-Mails
zufällig gewählte Adressen für das Empfänger- als auch für das Sender-Feld. Die E-Mails haben folgende Merkmale:

Betreffzeilen, u.a.:
error
hello
hi
mail delivery
system
mail transaction failed
server report
tatus
test
[zufällig
gewählte Zeichen]

Texte
test
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.

Attachment-Namen,
u.a.:
body
data
doc
document
file
message
readme
test
[zufällig gewählte Zeichen]

Die angehängten Dateien haben die Erweiterungen BAT, CMD, EXE, PIF, SCR oder ZIP.

W32/MyDoom-A erstellt eine Datei namens taskmon.exe im System- oder temp-Ordner und fügt den folgenden Registrierungseintrag hinzu, so dass diese Datei jedes Mal ausgeführt wird, wenn Windows gestartet wird:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Taskmon = taskmon.exe

Bitte beachten Sie, dass es auf Windows 95/98/Me eine legitime Datei namens taskmon.exe im Windows-Ordner gibt.

W32/MyDoom-A legt außerdem eine Datei namens shimgapi.dll im temp- oder system-Ordner ab. Dies ist ein Backdoor-Trojaner, der von dem Wurm geladen wird und durch den sich Außenstehende mit dem TCP Port 3127 verbinden können. Die DLL fügt den folgenden Registrierungseintrag hinzu, so dass sie beim Start aktiviert wird:

HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\
Default= "<Speicherort der dll>"

Der Wurm kann sich auch in den freigegebenen Ordner der KaZaA Peer-to-Peer-Anwendung mit einem der folgenden Dateinamen und einer PIF-, EXE-, SCR- oder BAT-Erweiterung kopieren:
activation_crack
icq2004-final
nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
winamp5

W32/MyDoom-A erstellt eine Datei namens Message im temp-Ordner und startet Notepad, um den Inhalt anzuzeigen, der nicht mehr als eine Zusammenstellung zufälliger Bytes ist. Der Wurm fügt außerdem die folgenden Einträge zur Registrierung hinzu:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32

Zwischen dem 1. und dem 12. Februar 2004 versucht der Wurm, eine Denial-of-Service-Attacke gegen http://www.sco.com zu starten, indem er zahlreiche GET-Anfragen an den Webserver sendet.

Nach dem 12. Februar verbreitet sich W32/MyDoom-A nicht mehr, da in seinem Code ein Auslaufdatum festgesetzt ist. Allerdings ist dann immer noch die Backdoor-Komponente aktiv.


MyDoom verbreitet sich mit hoher Geschwindigkeit im Internet - cHAp - 27.01.2004

Wurm baut Zombie-Armee zum Angriff auf die Website von SCO auf

Der technische Support bei Sophos warnt Anwender vor W32/ MyDoom-A, der sich im Internet weit verbreitet hat.

Der MyDoom Wurm (auch bekannt als Novarg oder Mimail-R) verbreitet sich per E-Mail, wobei er verschiedene, technisch klingende Betreffzeilen und Attachment-Namen verwendet. Wenn die angehängte Datei gestartet und der Wurm dadurch aktiviert wird, durchsucht der Wurm die Festplatte des infizierten Computers nach weiteren E-Mail-Adressen, an die er sich senden kann. Der Wurm öffnet eine Backdoor auf die infizierten Computer, wodurch Hacker Zugriff auf diese Computer erhalten.

Der Wurm verbreitet sich außerdem über das Datei-Austauschnetzwerk KaZaA und wurde vermutlich entwickelt, um Denial-of-Service (DoS)-Attacken auf die SCO Website von den infizierten Computern ("Zombies" genannt) aus zu starten.

"MyDoom unterscheidet sich von anderen Massmailing-Würmern der Vergangenheit, weil er nicht versucht, Anwender mit anrüchigen Bildern von Prominenten oder privaten E-Mails zum Öffnen des Attachments zu bewegen", sagt Gernot Hacker, Senior Technical Consultant bei Sophos. "MyDoom kann sich als technisch klingende E-Mail tarnen, wobei er vorgibt, der Text der E-Mail befindet sich in der angehängten Datei. Wenn Anwender auf das Attachment klicken und die Datei starten, legen sie damit potentiell ihre Daten und ihren Computer in die Hände von Hackern."

"Wenn sich der MyDoom Wurm per E-Mail weiterleitet, erstellt er sein Attachment entweder im EXE- oder im ZIP-Format. Möglicherweise wollte der Schöpfer dafür sorgen, dass sein Attachment in Unternehmen, die Filter zum Abblocken von EXE-Dateien im Einsatz haben, trotzdem seine Empfänger erreicht", fährt Gernot Hacker fort.