virus-informer.de: BSI: Mydoom.M verbreitet sich massiv per Massenmailing und Netzwerk

27.07.04 12:12 Age: 6 yrs

BSI: Mydoom.M verbreitet sich massiv per Massenmailing und Netzwerk

By: admin

W32.Mydoom.M@mm (Mydoom.M) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er lädt und installiert eine Backdoor auf dem infizierten Computer. Damit hat ein Angreifer volle Kontrolle über den infizierten Computer.

Nachfolgend die Original-Warnung des BSI...

Kategorie: Virus-Warnung

Name: W32.Mydoom.M@mm

Alias: W32/Mydoom.o@MM [McAfee]

W32/MyDoom-O [Sophos]

WORM_MYDOOM.M [Trend]

Win32.Mydoom.O [Computer Associates]

Art: Wurm

Größe ca. 28 kB

Betriebssystem: Microsoft Windows

Art der Verbreitung: Massenmailing, Netzwerk

Verbreitung: mittel

Risiko: mittel

Schadensfunktion: Backdoor

Spezielle Entfernung: Tool

bekannt seit: 26.07.2004

Beschreibung:

Durch die Ausführung des infizierten Anhangs wird ein Computer infiziert. Bei dieser Infektion erzeugt der Wurm folgende Dateien:

%Windir%\java.exe

%Windir%\services.exe

Hinweis:

%Windir% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Die Standardpfade sind C:\Windows oder C:\Winnt.

Mit dem Windows-Registry-Schlüssel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"Services" = "%Windir%\services.exe"

"JavaVM" = "%Windir%\java.exe"

wird Mydoom.M beim Systemstart aktiviert.

Außerdem können im infizierten System folgende Dateien angelegt werden:

%Temp%\zincite.log

%Temp%\[zufälligerName].log

Neue E-Mail-Adressen zur Weiterverbreitung werden auf dem infizierten Computer in Dateien mit den Endungen

.adb, .asp, .dbx, .htm, .php, .pl, .sht, .tbb, .txt, .wab gesucht.

Zudem werden weitere E-Mail-Adressen über Suchmaschinen im Internet gesucht.

Mydoom.M lädt aus dem Internet eine Backdoor und installiert diese auf dem infizierten Computer. Damit wird TCP-Port 1034 geöffnet.

E-Mail-Verbreitung:

Von:

Betreff:

say helo to my litl friend

click me baby, one more time

hello

error

status

test

report

delivery failed

Message could not be delivered

Mail System Error - Returned Mail

Delivery reports about your e-mail

Returned mail: see transcript for details

Returned mail: Data format error

Nachrichtentext:

Der Nachrichtentext einer infizierten E-Mail variiert. Er wird aus verschiedenen Bausteinen zusammengesetzt. Zudem werden Wörter und Begriffe unterschiedlich verwendet, ohne den Textsinn zu verändern (The oder This oder Your, bzw. undeliverable oder not delivered).

Beispiel:

This message was undeliverable due to the following reason:

Your message was not delivered because the destination server was

unreachable within the allowed queue period. The amount of time

a message is queued before it is returned depends on local configura-

tion parameters.

Most likely there is a network problem that prevented delivery, but

it is also possible that the computer is turned off, or does not

have a mail system running right now.

Anhang:

Der Name der angehängten Datei wird aus dem Domain-Namen des infizierten Systems generiert. Außerdem kann der Dateiname sein:

readme

instruction

transcript

mail

letter

file

text

attachment

document

message

Der Anhang hat eine cmd, bat, com, exe, pif, scr oder zip Erweiterung. Er kann zusätzlich die Erweiterung doc, txt, htm oder html führen.

Mydoom.M kopiert sich auch in Ordner, die folgenden Namen enthalten:

USERPROFILE

yahoo.com

Entfernung:

Wie bei vielen anderen Viren, Würmer oder Trojanischen Pferden, kann der Wurm nicht im laufenden System entfernt werden:

Der laufende Prozess blockiert die Datei

Windows schützt das Verzeichnis, in dem sich das Programm befindet

die Systemwiederherstellung von Windows Me/XP stellt die Datei nach dem Löschen wieder her

<- Back to: virus-informer.de


	27.07.04 12:12 Age: 6 yrs BSI: Mydoom.M verbreitet sich massiv per Massenmailing und Netzwerk By: admin W32.Mydoom.M@mm (Mydoom.M) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er lädt und installiert eine Backdoor auf dem infizierten Computer. Damit hat ein Angreifer volle Kontrolle über den infizierten Computer. Nachfolgend die Original-Warnung des BSI... Kategorie: Virus-Warnung Name: W32.Mydoom.M@mm Alias: W32/Mydoom.o@MM [McAfee] W32/MyDoom-O [Sophos] WORM_MYDOOM.M [Trend] Win32.Mydoom.O [Computer Associates] Art: Wurm Größe ca. 28 kB Betriebssystem: Microsoft Windows Art der Verbreitung: Massenmailing, Netzwerk Verbreitung: mittel Risiko: mittel Schadensfunktion: Backdoor Spezielle Entfernung: Tool bekannt seit: 26.07.2004 Beschreibung: W32.Mydoom.M@mm (Mydoom.M) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er lädt und installiert eine Backdoor auf dem infizierten Computer. Damit hat ein Angreifer volle Kontrolle über den infizierten Computer. Durch die Ausführung des infizierten Anhangs wird ein Computer infiziert. Bei dieser Infektion erzeugt der Wurm folgende Dateien: %Windir%\java.exe %Windir%\services.exe Hinweis: %Windir% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Die Standardpfade sind C:\Windows oder C:\Winnt. Mit dem Windows-Registry-Schlüssel: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Services" = "%Windir%\services.exe" "JavaVM" = "%Windir%\java.exe" wird Mydoom.M beim Systemstart aktiviert. Außerdem können im infizierten System folgende Dateien angelegt werden: %Temp%\zincite.log %Temp%\[zufälligerName].log Neue E-Mail-Adressen zur Weiterverbreitung werden auf dem infizierten Computer in Dateien mit den Endungen .adb, .asp, .dbx, .htm, .php, .pl, .sht, .tbb, .txt, .wab gesucht. Zudem werden weitere E-Mail-Adressen über Suchmaschinen im Internet gesucht. Mydoom.M lädt aus dem Internet eine Backdoor und installiert diese auf dem infizierten Computer. Damit wird TCP-Port 1034 geöffnet. E-Mail-Verbreitung: Von: Betreff: say helo to my litl friend click me baby, one more time hello error status test report delivery failed Message could not be delivered Mail System Error - Returned Mail Delivery reports about your e-mail Returned mail: see transcript for details Returned mail: Data format error Nachrichtentext: Der Nachrichtentext einer infizierten E-Mail variiert. Er wird aus verschiedenen Bausteinen zusammengesetzt. Zudem werden Wörter und Begriffe unterschiedlich verwendet, ohne den Textsinn zu verändern (The oder This oder Your, bzw. undeliverable oder not delivered). Beispiel: This message was undeliverable due to the following reason: Your message was not delivered because the destination server was unreachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura- tion parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now. Anhang: Der Name der angehängten Datei wird aus dem Domain-Namen des infizierten Systems generiert. Außerdem kann der Dateiname sein: readme instruction transcript mail letter file text attachment document message Der Anhang hat eine cmd, bat, com, exe, pif, scr oder zip Erweiterung. Er kann zusätzlich die Erweiterung doc, txt, htm oder html führen. Mydoom.M kopiert sich auch in Ordner, die folgenden Namen enthalten: USERPROFILE yahoo.com Entfernung: Wie bei vielen anderen Viren, Würmer oder Trojanischen Pferden, kann der Wurm nicht im laufenden System entfernt werden: Der laufende Prozess blockiert die Datei Windows schützt das Verzeichnis, in dem sich das Programm befindet die Systemwiederherstellung von Windows Me/XP stellt die Datei nach dem Löschen wieder her <- Back to: virus-informer.de
home Impressum