Viren
Aus
Inhaltsverzeichnis |
Informationen aus dem BSI
Kategorie: Virus-Warnung Name: W32.Mydoom.M@mm Alias: W32/Mydoom.o@MM [McAfee] W32/MyDoom-O [Sophos] WORM_MYDOOM.M [Trend] Win32.Mydoom.O [Computer Associates] Art: Wurm Größe ca. 28 kB Betriebssystem: Microsoft Windows Art der Verbreitung: Massenmailing, Netzwerk Verbreitung: mittel Risiko: mittel Schadensfunktion: Backdoor Spezielle Entfernung: Tool bekannt seit: 26.07.2004
Beschreibung:
W32.Mydoom.M@mm (Mydoom.M) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er lädt und installiert eine Backdoor auf dem infizierten Computer. Damit hat ein Angreifer volle Kontrolle über den infizierten Computer.
Durch die Ausführung des infizierten Anhangs wird ein Computer infiziert. Bei dieser Infektion erzeugt der Wurm folgende Dateien:
* %Windir%\java.exe * %Windir%\services.exe
Hinweis:
%Windir% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Die Standardpfade sind C:\Windows oder C:\Winnt.
Mit dem Windows-Registry-Schlüssel: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Services" = "%Windir%\services.exe" "JavaVM" = "%Windir%\java.exe" wird Mydoom.M beim Systemstart aktiviert.
Außerdem können im infizierten System folgende Dateien angelegt werden:
* %Temp%\zincite.log * %Temp%\[zufälligerName].log
Neue E-Mail-Adressen zur Weiterverbreitung werden auf dem infizierten Computer in Dateien mit den Endungen .adb, .asp, .dbx, .htm, .php, .pl, .sht, .tbb, .txt, .wab gesucht.
Zudem werden weitere E-Mail-Adressen im dem Internet gesucht.
Mydoom.M lädt aus dem Internet eine Backdoor und installiert diese auf dem infizierten Computer. Damit wird TCP-Port 1034 geöffnet.
E-Mail-Verbreitung:
Von: <Absender gefälscht>
Betreff:
* say helo to my litl friend * click me baby, one more time * hello * error * status * test * report * delivery failed * Message could not be delivered * Mail System Error - Returned Mail * Delivery reports about your e-mail * Returned mail: see transcript for details * Returned mail: Data format error
Nachrichtentext:
Der Nachrichtentext einer infizierten E-Mail variiert. Er wird aus verschiedenen Bausteinen zusammengesetzt. Zudem werden Wörter und Begriffe unterschiedlich verwendet, ohne den Textsinn zu verändern (The oder This oder Your, bzw. undeliverable oder not delivered).
Beispiel:
This message was undeliverable due to the following reason: Your message was not delivered because the destination server was unreachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura- tion parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
Anhang:
Der Name der angehängten Datei wird aus dem Domain-Namen des infizierten Systems generiert. Außerdem kann der Dateiname sein:
* readme * instruction * transcript * mail * letter * file * text * attachment * document * message
Der Anhang hat eine cmd, bat, com, exe, pif, scr oder zip Erweiterung. Er kann zusätzlich die Erweiterung doc, txt, htm oder html führen.
Mydoom.M kopiert sich auch in Ordner, die folgenden Namen enthalten:
* USERPROFILE * yahoo.com
Entfernung
Wie bei vielen anderen Viren, Würmer oder Trojanischen Pferden, kann der Wurm nicht im laufenden System entfernt werden:
* der laufende Prozess blockiert die Datei * Windows schützt das Verzeichnis, in dem sich das Programm befindet * die Systemwiederherstellung von Windows Me/XP stellt die Datei nach dem Löschen wieder her
Zur Entfernung sollte wie folgt vorgegangen werden:
1. Laden Sie eines der aufgeführten speziellen Entfernungstools.
Symantec (FxMydoom.exe): Direkt-Download oder Download mit englischer Beschreibung
NAI (Stinger.exe): Direkt-Download oder Download mit englischer Beschreibung
2. Systemwiederherstellung von Windows Me/XP deaktivieren
3. Start des Computers in den abgesicherten Modus
4. Durchsuchen Sie mit dem Entfernung-Tool den Computer. Zur Verwendung der Programme müssen Sie Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
5. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
* infizierte Dateien löschen
* Einträge aus der Windows-Registrierung entfernen
6. normaler Systemstart
7. Systemwiederherstellung (Me/XP) aktivieren
Achtung:
Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden.
(Erstellt: 27.07.2004)
Kontaktadresse BSI: bsisec@bsi.bund.de
