27.01.2004, 20:09
Alias
Mimail.R, Novarg.A, Shimg, W32.Novarg.A@mm, W32/Mydoom@MM
Typ
Win32-Wurm
Erläuterung
W32/MyDoom-A ist ein Wurm, der sich per E-Mail verbreitet. Der Wurm sammelt
E-Mail-Adressen auf der Festplatte des Anwenders und verwendet in seinen E-Mails
zufällig gewählte Adressen für das Empfänger- als auch für das Sender-Feld. Die E-Mails haben folgende Merkmale:
Betreffzeilen, u.a.:
error
hello
hi
mail delivery
system
mail transaction failed
server report
tatus
test
[zufällig
gewählte Zeichen]
Texte
test
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
Attachment-Namen,
u.a.:
body
data
doc
document
file
message
readme
test
[zufällig gewählte Zeichen]
Die angehängten Dateien haben die Erweiterungen BAT, CMD, EXE, PIF, SCR oder ZIP.
W32/MyDoom-A erstellt eine Datei namens taskmon.exe im System- oder temp-Ordner und fügt den folgenden Registrierungseintrag hinzu, so dass diese Datei jedes Mal ausgeführt wird, wenn Windows gestartet wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Taskmon = taskmon.exe
Bitte beachten Sie, dass es auf Windows 95/98/Me eine legitime Datei namens taskmon.exe im Windows-Ordner gibt.
W32/MyDoom-A legt außerdem eine Datei namens shimgapi.dll im temp- oder system-Ordner ab. Dies ist ein Backdoor-Trojaner, der von dem Wurm geladen wird und durch den sich Außenstehende mit dem TCP Port 3127 verbinden können. Die DLL fügt den folgenden Registrierungseintrag hinzu, so dass sie beim Start aktiviert wird:
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\
Default= "<Speicherort der dll>"
Der Wurm kann sich auch in den freigegebenen Ordner der KaZaA Peer-to-Peer-Anwendung mit einem der folgenden Dateinamen und einer PIF-, EXE-, SCR- oder BAT-Erweiterung kopieren:
activation_crack
icq2004-final
nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
winamp5
W32/MyDoom-A erstellt eine Datei namens Message im temp-Ordner und startet Notepad, um den Inhalt anzuzeigen, der nicht mehr als eine Zusammenstellung zufälliger Bytes ist. Der Wurm fügt außerdem die folgenden Einträge zur Registrierung hinzu:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
Zwischen dem 1. und dem 12. Februar 2004 versucht der Wurm, eine Denial-of-Service-Attacke gegen http://www.sco.com zu starten, indem er zahlreiche GET-Anfragen an den Webserver sendet.
Nach dem 12. Februar verbreitet sich W32/MyDoom-A nicht mehr, da in seinem Code ein Auslaufdatum festgesetzt ist. Allerdings ist dann immer noch die Backdoor-Komponente aktiv.
Mimail.R, Novarg.A, Shimg, W32.Novarg.A@mm, W32/Mydoom@MM
Typ
Win32-Wurm
Erläuterung
W32/MyDoom-A ist ein Wurm, der sich per E-Mail verbreitet. Der Wurm sammelt
E-Mail-Adressen auf der Festplatte des Anwenders und verwendet in seinen E-Mails
zufällig gewählte Adressen für das Empfänger- als auch für das Sender-Feld. Die E-Mails haben folgende Merkmale:
Betreffzeilen, u.a.:
error
hello
hi
mail delivery
system
mail transaction failed
server report
tatus
test
[zufällig
gewählte Zeichen]
Texte
test
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
Attachment-Namen,
u.a.:
body
data
doc
document
file
message
readme
test
[zufällig gewählte Zeichen]
Die angehängten Dateien haben die Erweiterungen BAT, CMD, EXE, PIF, SCR oder ZIP.
W32/MyDoom-A erstellt eine Datei namens taskmon.exe im System- oder temp-Ordner und fügt den folgenden Registrierungseintrag hinzu, so dass diese Datei jedes Mal ausgeführt wird, wenn Windows gestartet wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Taskmon = taskmon.exe
Bitte beachten Sie, dass es auf Windows 95/98/Me eine legitime Datei namens taskmon.exe im Windows-Ordner gibt.
W32/MyDoom-A legt außerdem eine Datei namens shimgapi.dll im temp- oder system-Ordner ab. Dies ist ein Backdoor-Trojaner, der von dem Wurm geladen wird und durch den sich Außenstehende mit dem TCP Port 3127 verbinden können. Die DLL fügt den folgenden Registrierungseintrag hinzu, so dass sie beim Start aktiviert wird:
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\
Default= "<Speicherort der dll>"
Der Wurm kann sich auch in den freigegebenen Ordner der KaZaA Peer-to-Peer-Anwendung mit einem der folgenden Dateinamen und einer PIF-, EXE-, SCR- oder BAT-Erweiterung kopieren:
activation_crack
icq2004-final
nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
winamp5
W32/MyDoom-A erstellt eine Datei namens Message im temp-Ordner und startet Notepad, um den Inhalt anzuzeigen, der nicht mehr als eine Zusammenstellung zufälliger Bytes ist. Der Wurm fügt außerdem die folgenden Einträge zur Registrierung hinzu:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
Zwischen dem 1. und dem 12. Februar 2004 versucht der Wurm, eine Denial-of-Service-Attacke gegen http://www.sco.com zu starten, indem er zahlreiche GET-Anfragen an den Webserver sendet.
Nach dem 12. Februar verbreitet sich W32/MyDoom-A nicht mehr, da in seinem Code ein Auslaufdatum festgesetzt ist. Allerdings ist dann immer noch die Backdoor-Komponente aktiv.