I-Worm.Mydoom, verbreitet sich u.a. über Filesharing Pr |
Willkommen, Gast ( Anmelden | Registrierung )
I-Worm.Mydoom, verbreitet sich u.a. über Filesharing Pr |
27 Jan 2004, 14:39
Beitrag
#1
|
|
...ich war brav! Gruppe: tb te@m Beiträge: 193 Mitglied seit: 4-July 03 Mitglieds-Nr.: 1.889 |
Zurzeit ist der Wurm I-Worm.Mydoom unterwegs !!
alias WORM_MIMAIL.R, W32.Novarg.A@mm Der I-Worm.Mydoom kommt per Attachment einer eMail auf Ihren PC mit einer der folgenden Dateiendungen: .bat, .cmd, .exe, .pif oder .zip. Wird der I-Worm.Mydoom durch Doppelklick aktiviert kopiert er sich 1. In das Windows/system-Verzeichnis mit dem Namen "shimgapi.dll" 2. Mit dem Dateinamen "Message" in das Tmp-Verzeichnis und zeigt den Dateiinhalt mit Notepad an. 3. Als Datei "taskmon.exe" in das Windows/System(32)-Verzeichnis. Sollte die Datei "taskom.exe" bereits vorhanden sein so ersetzt der diese. Die Datei "shimgabi.dll" ist ein Proxyserver und öffnet einige TCP-Ports (3127 - 3198) wodurch ein Dritter zugriff auf den Rechner erhält. Die integrierte Backdoorfunktion ermöglicht auch den Download und die Installation von weiteren Dateien. Der Proxyserver (shimgabi.dll) wird durch den Explorer (explorer.exe) gestartet mit dem Registrykey: HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll Weiters wird der Eintrag "TaskMon = %System%\taskmon.exe" an folgende Registryeinträge angefügt: HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run I-Worm.Mydoom startet ab dem 1. Febraur 2004 eine DoS-Atacke auf die Domain www.sco.com indem er 64 gleizeitige Anfragen an den Port 80 sendet. Weiters werden folgende Registryeinträge angelegt: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\Version und HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\Version Da sich I-Worm.Mydoom hauptsächlich per eMail (Eigene SMTP-Engine) verbreitet, wird der infizierte Rechner nach eMailadressen in den Dateien .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab und .txt durchsucht an welche er sich versendet. Sollten Adressen mit der Top-Level-Domain .edu gefunden werden so versendet sich der Wurm nicht an diese. Weiters versendet sich der I-Worm.Mydoom nicht an die Domains die Teile beinhalten wie: avp syma icrosof msn. hotmail panda sopho borlan inpris example mydomai nodomai ruslis .gov gov. .mil foo. berkeley unix math bsd mit.e gnu fsf. ibm.com kernel linux fido usenet iana ietf rfc-ed sendmail arin. ripe. isi.e isc.o secur acketst pgp tanford.e utgers.ed mozilla Oder an Empfängeradressen wie: root info samples postmaster webmaster noone nobody nothing anyone someone your you me bugs rating site contact soft no somebody privacy service help not submit feste ca gold-certs the.bat page Und auch an Adressen mit folgenden Teilen versendet sich der Wurm nicht: admin icrosoft support ntivi unix bsd linux listserv certific accoun Die eMail hat folgendes Aussehen: Von: Variabler Betreff: test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error Variabler Text: Mail transaction failed. Partial message is available. oder The message contains Unicode characters and has been sent as a binary attachment. oder The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. Variables Attachment: document readme doc text file data test message body Variable Datei-Endung pif scr exe cmd bat zip Dateigröße: 22.528 Bytes Sollte auf dem infizierten Rechner das Filesharingprogramm KaZaA installiert sein, so kopiert sich der Wurm in das Upload-Verzeichnis mit einem der folgenden Namen: winamp5 icq2004-final activation_crack strip-girl-2.0bdcom_patches rootkitXP office_crack nuke2004 Und der Dateiendung pif scr bat exe Ab dem 12. Februar ist mit keiner weiteren Verbreitung zu rechnen da der Wurm an diesem Tag seine weiterverbreitung per eMail stoppt. Per KaZaA ist aber auch nach diesem Tag mit einer Verbreitung zu rechnen wenn der infizierte User nicht sein Upload-Verzeichnis kontrolliert. Manuelle Entfernung: Da I-Worm.Mydoom keine Dateien infiziert oder verändert ist die Entfernung einfach. 1. Löschen des Registryeinträge unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Taskmon"="%System%\taskmon.exe" HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Taskmon"="%System%\taskmon.exe" 2. Löschen der Registryeinträge HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\Version HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\Version 3. Task der Datei "shimgapi.dll" beenden und die Datei löschen 4. Löschen der Datei "taskmon.exe" Der Beitrag wurde von admin K bearbeitet: 27 Jan 2004, 14:42 |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 29. May 2024 - 02:20 |
Copyright 2001 - 2014 technoboard.at
|
Die
Texte geben die Meinung der Autoren und nicht unbedingt die des technoboard.at
Teams wieder.
Alle fraglichen Inhalte werden auf Anfrage und alle gegen die BoardRegeln verstossenden Einträge automatisch entfernt (sobald sie bemerkt werden). Kontakt: [email protected] |