W32.MyDoom.AH@mm - Virensignatur

Symptome :

Technische Beschreibung:

Und so verbreitet sich dieser Wurm:
Der Wurm kommt in Email Nachrichten vor und beinhaltet Links zu:

"FREE ADULT VIDEO! SIGN UP NOW!"

oder

"Look at my homepage with my last webcam photos!"

oder

"Congratulations! PayPal has successfully charged $175 to your credit
card. Your order tracking number is A866DEC0, and your item will be shipped
within three business days. To see details please click this link.

DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by
an automated message system and the reply will not be received.

Thank you for using PayPal."

"Hi! I am looking for new friends. I am from Miami, FL. You can see my homepage with my last webcam
photos!"

Wenn der User auf einen der Links klickt wird er per redirect zu einer HTML-Seite geleitet.
Diese HTML-Seite greift über den Internet Explorer den Zielrechner an indem ein böswilliges shellcode durchgeführt wird.
D ieses shellcode downloadet eine Kopie des Virus MyDoom auf dem verletzbaren Computer und führt sie durch.

Wenn ausgeführt,löscht es folgende registry Einträge :

HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run

\center
\reactor
\Rhino
\Reactor3
\Reactor4

Der Wurm kreiert eine Datei (mit wechselnden Dateinamen) im Windows System Ordner.

Addiert den Wert "Reactor5" in
HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run,
Auf diese Weise dupliziert er sich nach jedem Systemneustart.

Er versucht die Window Shell_TrayWnd einen böswilligen Code innerhalb des Prozesses herzustellen, der dieses Fenster beinhaltet (tipically Explorer.exe).

Wenn es nicht das Window "Shell_TrayWnd" finden kann, versucht der Wurm in das Vordergrundfenster zu kommen um sich im Prozeß einzusetzen, der das Windows beinhaltet.

Im Remute-Threat versucht es, die erforderlichen Bibliotheken zu laden. Es verursacht das Mutex "Load5", um weitere Durchführungen zu vermeiden.

[IRC Beiträge]

Der Virus hat seinen eigenen IRC client und versucht über folgende IRC Server zu konnektieren:

"flanders.be.eu.undernet.org"
"caen.fr.eu.undernet.org"
"brussels.be.eu.undernet.org"
"los-angeles.ca.us.undernet.org"
"washington.dc.us.undernet.org"
"london.uk.eu.undernet.org"
"diemen.nl.eu.undernet.org"
"lulea.se.eu.undernet.org"
"broadway.ny.us.dal.net"

[Mail Beitrag]

This is a mass-mailing worm; it attempts to find valid e-mail addresses in files with the extension "wab", "pl", "adb", "tbb", "dbx", "asp", "php", "sht", "htm", "txt".

The "from" field spoofed (randomly chosen from a list inside the virus body).

The worm also contains a "X-Antivirus" field in the e-mail headers:
"scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)"
oder
"Checked for viruses by Gordano's AntiVirus Software Checked by Dr.Web (http://www.drweb.net)"

Entfernung:

[ Zurück zum Anfang ]