Mydoom-Virus: Die B-Variante im Detail
Nachfolgend der "I-Worm.Mydoom.B" alias "W32/Mydoom.b@MM" in der Detailansicht:
- Dateiendungen: .pif, .cmd, .bat, .scr, .zip oder .exe
- Das vom Wurm generierte eMail hat im Regelfall folgendes Aussehen: Von: variabel@aol.com, variabel@msn.com, variabel@yahoo.com, variabel@hotmail.com.
"variabel" können dabei folgende Namen sein: john, alex, michael, james, mike, kevin, david, george, sam, andrew, jose, leo, maria, jim, brian, serg, mary, ray, tom, peter, robert, bob, jane, joe, dan, dave, matt, steve, smith, stan, bill, bob, jack, fred, ted, adam, brent, alice, anna, brenda, claudia, debby, helen, jerry, jimmy, linda, sandra, julie.
Betreff: Randomly chosen from the following list: , Mail Transaction Failed, Unable to deliver the message, Status, Delivery Error, Mail Delivery System, hello, Error, Server Report, Returned mail.
Text: Variable Zahlen und Buchstaben oder eine der nachfolgenden Zeilen:
test
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
Variabler Attachmentname: body, doc, text, document, data, file, readme, message.
Variable Dateiendung: .pif, .cmd, .bat, .scr, .exe oder .zip
Wird der I-Worm.Mydoom.B durch Doppelklick aktiviert kopiert er sich
1. In das Windows/system-Verzeichnis mit dem Namen "ctfmon.dll" 2. Notepad wird gestartet, wirre Zeichen und Zahlen.
3. Als Datei "explorer.exe" in das Windows/System(32)-Verzeichnis.
Die Datei "ctfmon.dll" ist ein Proxyserver und öffnet den Port 10080 wodurch ein Dritter zugriff auf den Rechner erhält. Die integrierte Backdoorfunktion ermöglicht auch den Download und die Installation von weiteren Dateien.
Dieser Proxyserver wird auch in der Registry eingetragen: [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32] "Apartment" = "%SysDir%\ctfmon.dll"
Der Proxyserver (ctfmon.dll) wird durch den Explorer (explorer.exe) gestartet mit dem Registrykey: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer%systemver zeichnis%\explorer.exe
Da sich I-Worm.Mydoom.B hauptsächlich per eMail (Eigene SMTP-Engine) verbreitet, wird der infizierte Rechner nach
eMailadressen in den Dateien .htm, .sht, .php, .asp, .dbx, .tbb,
.adb, .pl, .wab und .txt durchsucht an welche er sich versendet.
I-Worm.Mydoom.B versendet sich nicht an Domains die Teile beinhalten wie: abuse, accoun, certific, listserv, ntivi, icrosoft, admin, page, the.bat, gold-certs, feste, submit, help, service, privacy, somebody, soft, contact, site, rating, bugs, your, someone, anyone, nothing, nobody, noone, webmaster, postmaster, support, samples, info, root, ruslis, nodomai, mydomai, example, inpris, borlan, nai., sopho, foo.,
.mil, gov., .gov, panda, icrosof, syma, kasper, mozilla, utgers.ed, tanford.e, acketst, secur, isc.o, isi.e, ripe., arin., sendmail, rfc-ed, ietf, iana, usenet, fido, linux, kernel, google, ibm.com, fsf., mit.e, math, unix, berkeley, spam.
Sollte auf dem infizierten Rechner das Filesharingprogramm KaZaA installiert sein, so kopiert sich der Wurm in das Upload-Verzeichnis mit einem der folgenden Namen: NessusScan_pro, attackXP-1.26, winamp5, MS04-01_hotfix, zapSetup_40_148, BlackIce_Firewall_Enterpriseactivation_crack, xsharez_scanner, icq2004-final
Und der Dateiendung: pif, scr, bat, exe.
Als Erweiterung gegenüber der Vorgängerversion I-Worm.Mydoom ersetzt die B.Variante die Datei "hosts" im Windowsverzeichnis und verhindert dadurch den Zugriff auf folgende Domains: ad.doubleclick.net, ad.fastclick.net, ads.fastclick.net, ar.atwola.com, atdmt.com, avp.ch, avp.com, avp.ru, awaps.net, banner.fastclick.net, banners.fastclick.net, ca.com, click.atdmt.com, clicks.atdmt.com, dispatch.mcafee.com, download.mcafee.com, download.microsoft.com, downloads.microsoft.com, engine.awaps.net, fastclick.net, f-secure.com, ftp.f-secure.com, ftp.sophos.com, go.microsoft.com, liveupdate.symantec.com, mast.mcafee.com, mcafee.com, media.fastclick.net, msdn.microsoft.com, my-etrust.com, nai.com, networkassociates.com, office.microsoft.com, phx.corporate-ir.net, secure.nai.com, securityresponse.symantec.com, service1.symantec.com, sophos.com, spd.atdmt.com, support.microsoft.com, symantec.com, update.symantec.com, updates.symantec.com, us.mcafee.com, vil.nai.com, viruslist.ru, windowsupdate.microsoft.com, www.avp.ch, www.avp.com, www.avp.ru, www.awaps.net, www.ca.com, www.fastclick.net, www.f-secure.com, www.kaspersky.ru, www.mcafee.com, www.my-etrust.com, www.nai.com, www.networkassociates.com, www.sophos.com, www.symantec.com, www.trendmicro.com, www.viruslist.ru, www3.ca.com .
Durch die neue Hosts-Datei ist auf einem infizierten System ein Update des Virenscanners der oben genannten Virenschutzhersteller somit automatisch nicht mehr möglich.
Weitere Informationen:
(apa/red)