|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.Mydoom.F
Alias W32/Mydoom.f
Wie schon die Mydoom-Varianten zuvor startet auch der I-Worm.Mydoom.F eine DoS-Attacke. Diesmal jedoch nicht nur auf die Seite http://www.microsoft.com sondern auch jene der Urheberrechtsschützer auf www.riaa.com.
Im Gegensatz zu früheren Varianten deaktiviert sich der Mydoom.F jedoch nicht nach dem Ablauf einer gewissen Frist. Da der Wurm alle Register der Möglichkeiten sich via eMail zu verbreiten zieht – steht zu befürchten, dass er noch längere Zeit sein Unwesen treiben wird.
Unangenehm ist bei dieser Variante auch die Fähigkeit, Daten auf infizierten PCs zu löschen. So löscht der Wurm auf infizierten PCs nach einem Wahrscheinlickeitsprinzip AVI, BMP, DOC, JPG, MDB, SAV und XLS Dateien. Dies scheint der Virenautor im Zusammenhang mit der Attacke auf www.riaa.com besonders „ironisch“ zu finden, was er auch in einer Nachricht im Quelltext mitzuteilen versucht:
.-==I am "Irony", made by jxq7==-
Der I-Worm.Mydoom.F kommt per Attachment einer eMail PC mit einer der folgenden Dateiendungen: .pif, .cmd, .bat, .scr, .zip oder .exe auf Ihren PC.
Das eMail hat dabei eine Vielzahl an Möglichkeiten sich unterschiedliches „Aussehen“ zu verleihen. Es ist in der Lage aus nachstehenden Begriffen unterschiedliche Betreffs und Inhalte ebenso zu variieren wie es in der Lage ist, unterschiedlichste Absender und Empfänger Adresse die es gesammelt hat zu verwenden.
Der Möglichkeit aus verschiedenen Betreffs zu wählen ist ebenso vorhanden, wobei starke Ähnlichkeiten zum Sober.C Wurm festzustellen sind!
Betreff:
test
hi
hello
Returned Mail
Confirmation Required
Confirmation
Registration confirmation
please reply
please read
Read this message
Readme
Important
Your account has expired
Expired account
Notification
automatic responder
automatic notification
You have 1 day left
Warning
Information
For your information
For you
Something for you
Read it immediately
Read this
Read it immediately!
Your credit card
Schedule
Accident
Attention
stolen
news
recent news
Wanted
fake
unknown
bug
forget
read now!
Current Status
Your request is being processed
Your ORDER is being processed
Your request was registered
Your ORDER was registered
Re:
Undeliverable message
Love is...
Love is
Your account is about to be expired
Your IP was logged
You use illegal File Sharing...
Thank You very very much
hi, it's me
Approved
Re: Approved
Details
Re: Details
Thank you
Re: Thank you
Announcement
Auch der Mailtext des Mydoom.F Wurms variiert stark:
Okay
Everything ok?
Check the attached document.
The document was sent in compressed format.
Please see the attached file for details
See the attached file for details
Details are in the attached document. You need Microsoft Office to open it.
Take it
Reply
Please, reply
Information about you
Greetings
See you
Here it is
We have received this document FROM your e-mail.
Kill the writer of this document!
Something about you
I have your password :)
You are a bad writer
Is that yours?
Is that FROM you?
I wait for your reply.
Here is the document.
Read the details.
Test
I'm waiting
Variabler Attachmentname:
msg
doc
document
readme
text
file
data
test
message
body
details
creditcard
attachment
stuff
me
post
posting
textfile
info
information
note
notes
product
bill
check
ps
money
about
story
mail
list
joke
jokes
friend
site
website
object
mail2
part1
part4
part2
part3
misc
disc
paypal
approved
details
your_document
image
resume
photo
Und last but not least variable Dateiendung:
.pif, .cmd, .bat, .scr, .exe oder .zip
Wird der I-Worm.Mydoom.F durch Doppelklick aktiviert startet er die Notepad.EXE und bringt eine der nachstehenden Fehlermeldungen:
Unable to open specified file
File cannot be opened
File is corrupted
Zudem wird obligatorisch in der Registry eingetragen:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
oder
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Da sich I-Worm.Mydoom.F nur per eMail (eigene SMTP-Engine) verbreitet, wird der infizierte Rechner nach eMailadressen in den Dateien .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab und .txt durchsucht an welche er sich versendet. Der Wurm ist in der Lage diese gesammelten eMail-Adressen beliebig als Absender oder Empfänger einzutragen.
I-Worm.Mydoom.f versendet sich jedoch nicht an Domains die Teile beinhalten wie:
msn., syma, icrosof, hotmail, panda, sophos, borlan, inpris, example, mydoma, nodoma, ruslis, .gov, gov., .mil, foo., suppo, essagela, nai.co
Dies wurde so gewählt, um eine frühzeitiges Erkennen für Sicherheits- und Antiviren-Firmen zu erschweren.
Zudem installiert der Mydoom.F wie schon seine Vorgänge einen eigenen BackDoor mit dem ein Angreifer über den TCP-Port 1080 Dateien auf den infizierten Rechner uploaden und diese starten können.
Zwischen 17. und 22. jeden Monats aktiviert der Wurm zudem die o.g. Distributed Denial of Service gegen Microsoft und RIAA im Verhältnis 2/3 zu 1/3.
Mit einem relativ “aufwendigem” Verfahren “entscheidet” der Wurm auf infizierten PCs zudem ob und in welchem Ausmaß bestimmte Dateien gelöscht werden oder nicht. Das Virus stellt dabei eine Art Wahrscheinlichkeitsrechnung an.
Mit einer Wahrscheinlichkeit von
40% für doc´s
60% für .xls´s
95% für .sav
8% für .jpg
10% für .avi
löscht das Virus die Dateien die es auf der Festplatte findet – wer denkt sich diesem Risiko aussetzen zu können, dem sei jedoch gesagt, dass das Virus nach Durchlauf des Scann´s der Festplatte nach oben stehenden Dateien beendet hat für 32 Sekunden „ruht“ und das selbe Prozedere von vorne beginnt.
Was zwangsläufig den Bestand an Daten mit o.g. Extension gegen Null führen wird.
|
|
Linktipps: Emil und Pauline im Zoo
|
|
|
|
