|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.Mydoom.B
I-Worm.Mydoom.B alias W32/Mydoom.b@MM
Der I-Worm.Mydoom.B kommt per Attachment einer eMail auf Ihren PC mit einer der folgenden Dateiendungen: .pif, .cmd, .bat, .scr, .zip oder .exe .
Das eMail hat folgendes Aussehen:
Von:
variabel@aol.com
variabel@msn.com
variabel@yahoo.com
variabel@hotmail.com
"variabel" können folgende Namen sein:
john
alex
michael
james
mike
kevin
david
george
sam
andrew
jose
leo
maria
jim
brian
serg
mary
ray
tom
peter
robert
bob
jane
joe
dan
dave
matt
steve
smith
stan
bill
bob
jack
fred
ted
adam
brent
alice
anna
brenda
claudia
debby
helen
jerry
jimmy
linda
sandra
julie
Betreff:
Mail Transaction Failed
Unable to deliver the message
Status
Delivery Error
Mail Delivery System
hello
Error
Server Report
Returned mail
Text:
Variable Zahlen und Buchstaben
oder eine der nachfolgenden Zeilen:
test
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
Variabler Attachmentname:
body
doc
text
document
data
file
readme
message
Variable Dateiendung:
.pif, .cmd, .bat, .scr, .exe oder .zip
Wird der I-Worm.Mydoom.B durch Doppelklick aktiviert
1. Erscheint die Fehlermeldung: Not enought memory to load this file
1. Kopiert er sich in das Windows/system-Verzeichnis mit dem Namen "ctfmon.dll"
2. Wird Notepad gestartet und zeigt wirre Zeichen und Zahlen.
3. Kopiert er sich als Datei "explorer.exe" in das Windows/System(32)-Verzeichnis.
Die Datei "ctfmon.dll" ist ein Proxyserver wodurch ein Dritter zugriff auf den Rechner erhält.
Folgende Ports werden je nach Verfügbarkeit des infizierten Rechners geöffnet:
1080
3128
80
8080
10080
Die integrierte Backdoorfunktion ermöglicht auch den Download und die Installation von weiteren Dateien.
Dieser Proxyserver wird auch in der Registry eingetragen:
[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"Apartment" = "%systemverzeichnis%\ctfmon.dll"
Der Proxyserver (ctfmon.dll) wird durch den Explorer (explorer.exe) gestartet mit dem Registrykey:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer
%systemverzeichnis%\explorer.exe
Da sich I-Worm.Mydoom.B hauptsächlich per eMail (Eigene SMTP-Engine) verbreitet, wird der infizierte Rechner nach eMailadressen in den Dateien .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab und .txt durchsucht an welche er sich versendet.
I-Worm.Mydoom.B versendet sich nicht an Domains die Teile beinhalten wie:
abuse
accoun
certific
listserv
ntivi
icrosoft
admin
page
the.bat
gold-certs
feste
submit
help
service
privacy
somebody
soft
contact
site
rating
bugs
your
someone
anyone
nothing
nobody
noone
webmaster
postmaster
support
samples
info
root
ruslis
nodomai
mydomai
example
inpris
borlan
nai.
sopho
foo.
.mil
gov.
.gov
panda
icrosof
syma
kasper
mozilla
utgers.ed
tanford.e
acketst
secur
isc.o
isi.e
ripe.
arin.
sendmail
rfc-ed
ietf
iana
usenet
fido
linux
kernel
google
ibm.com
fsf.
mit.e
math
unix
berkeley
spam
Sollte auf dem infizierten Rechner das Filesharingprogramm KaZaA installiert sein, so kopiert sich der Wurm in das Upload-Verzeichnis mit einem der folgenden Namen:
NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final
Und der Dateiendung
pif
scr
bat
exe
Als Erweiterung gegenüber der Vorgängerversion I-Worm.Mydoom ersetzt die B-Variante die Datei "hosts" im Windowsverzeichnis und verhindert dadurch den Zugriff auf folgende Domains:
ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com
Durch die neue Hosts-Datei ist ein Update des Virenscanners vieler Virenschutzhersteller nicht mehr möglich!
Wie schon Variante.A startet auch I-Worm.Mydoom.B eine DoS-Attacke aber diesmal nicht nur auf www.sco.com sondern auch auf www.microsoft.com.
Kann der Wurm den Hostnamen www.sco.com nicht auflösen so wartet der Wurm 65 Sekunden und versucht es danach erneut. Kann der Hostname www.microsoft.com nicht aufgelöst werden versucht der Wurm alle 16 Secunden die DoS-Atacke.
|
|
Linktipps: Hotel in Cracow
|
|
|
|
