| Bezeichnung |
Name |
Typ |
| Mydoom.U@mm |
Win32.Mydoom.U@mm |
Ausführender Massenmailer Wurm Backdoor |
| Schaden |
Entdeckt |
Ermittelt |
| Mittel |
03.09.2004 |
03.09.2004 |
| Größe |
Verbreitung |
Noch unterwegs |
| 37,888 (upx gepackt), 8192 bytes |
Mittel |
Ja |
| Andere Namen |
| I-Worm.MyDoom.gen | Win32.HLLM.MyDoom.based |
|
|
 |
Symptome :
|
- Präsenz folgender Dateien im
%SYSTEM% Ordner:
tasker.exe (37,888 bytes)
Nemog.dll (8,192 bytes)
- Präsenz des folgenden Registry Key, der auf die oben genannte
Datei weist:
[HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\ CurrentVersion\Run]
"Task"=" %SYSTEM%\tasker.exe"]
und auch
[HKEY_CLASSES_ROOT\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InprocServer32\]
"(Default)" = "%SYSTEM%\Nemog.dll"
- Präsenz in der Memory des Prozesses "tasker"
wo
%WINDOWS% auf den Windows Ordner (oder WinNT bei auf Windows NT basierenden
Systemen) weist
%SYSTEM% auf den "System" Ordner bei Windows 9x Systemen und
"System32" Ordner
bei WinNT Systemen weist
Wenn der Virus läuft, öffnet er in Notepad Müll.
|
Technische Beschreibung:
|
Der Virus kommt als Email in folgendem Format:
From: spoofed, may usually appear as from @msn.com, @yahoo.com, @hotmail.com
Subject: (one of the following lines)
RE:my .....
RE:test
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi
Msg
Information
Body: (einer der folgenden Sätze)
This is a multi-part message in MIME format.
Mail transaction failed. Partial message is available.
sorry we can't send the mail try later , check the attachment for more
information.
error , sorry we can't send the email so check the attachment.
hello check the attachment thx.
hello.
!!!!!!!!!!!, check the attachment!!!.
Try Later, Check the Attachment.
failed to send the email!, check the attachment for more information.
check.
check the attachment to get the lastest news.
come back my friend.
loooooool ;)))
hello :)
failed,check the attachment for more information.
error, check the attachment for more information.
error to send the mail!!!!!.
you can check the attachment for more information.
(Norton ANti Virus,Panda,Mcafee No Virusses Found).
the attachment for more information.
here is what you need,thx.
your attachment , thx.
Check the attachment for more information!.
(Norton Anti Virus : No Virusses Found , Check The Attachment For More
Information.
test
Attachment:
Dateiname kann sein:
body
message
test
data
Datei
text
doc
readme
document
Anhang kann sein:
bat, cmd, exe, scr, pif or zip
Wenn der Virus läuft, geschieht Folgendes:
1. Er schafft den Mutex "EnD-Of-SkyNet", um nur einmal in der
Memory präsent zu sein.
2. Er schafft einen neuen Thread, der im TEMP Ordner eine Datei namens
Message schafft (ca. 4 KBytes), die binären Müll enthält,
und er öffnet sie in Notepad. Wenn Notepad geschlossen wird, wird
auch der Thread geschlossen und die Datei Message wird gelöscht
3. Er schafft in %SYSTEM% die Datei Nemog.dll und registriert sie in [HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-
DE35-11CF-9C87-00AA005127ED}]
4. Er schafft eine Kopie des Virus im %SYSTEM% Ordner als tasker.exe
5. Er schafft den Registry Key HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run]
"Task"="%SYSTEM%\tasker.exe"] so dass der Virus bei
jedem Neustart läuft
6. Er prüft, ob der Computer mit dem Internet verbunden ist, indem
er jede halbe Minute www.microsoft.com checkt.
7. Er ruft den Kazaa Download Ordner ab und schafft dort Kopien des Virus,
zusammengesetzt aus folgenden Dateinamen:
XXX Pictures, XXX Videos, xbox emulator, ps2 emulator, Hotmail hacker,
yahoo hacker, klez, SoBig, mydoom, netsky, Vahos, Upload, crack, Winzip,
kazz, Wenrar, mirc, cleaner, SeX, Vaho, Fixtool
und den Endungen:
bat, pif, scr, exe
8. Er sammelt E-mail Adresse in Dateien wie:
wab, pl, adb, tbb, dbx, asp, php, sht, htm
und auch in der default WAB Datei
9. Er benutzt seine eigene SMTP Maschine, um sich zu versenden, dabei
benutzt er das zuvor beschriebene Format, aber vermeidet es, sich an Email
Adressen zu versenden, die Folgendes enthalten:
syma, icrosof, panda, sopho, borlan, inpris, example, mydomai, nodomai,
ruslis, .gov, gov., .mil, foo.
unix, math, bsd, mit.e, gnu, fsf., ibm.com, kernel, linux, fido, usenet,
iana, ietf, rfc-ed, sendmail, arin., ripe., isi.e, isc.o, acketst, pgp,
tanford.e, utgers.ed, mozilla
root, info, samples, postmaster, webmaster, noone, nobody, nothing, anyone,
someone, your, you, me, bugs, rating, site, contact, soft, no, somebody,
privacy, service, help, not, submit, feste, ca, gold-certs, the.bat, page
icrosoft, support, ntivi, unix, bsd, linux, listserv, certific, google,
accoun
avp, abuse, secur, spam, www, spm
10. Er besitzt Backdoor Fähigkeiten: Nemog.dll öffnet Port
5422 und lauscht nach Befehlen
11. Er öffnet eventuell einen http proxy auf Port 80
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Mydoom.U@mm Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
