I-Worm.Mydoom, verbreitet sich u.a. über Filesharing Pr Einstellungen

[admin K]

Zurzeit ist der Wurm I-Worm.Mydoom unterwegs !!

alias WORM_MIMAIL.R, W32.Novarg.A@mm

Der I-Worm.Mydoom kommt per Attachment einer eMail auf Ihren PC mit einer der folgenden Dateiendungen: .bat, .cmd, .exe, .pif oder .zip.

Wird der I-Worm.Mydoom durch Doppelklick aktiviert kopiert er sich

1. In das Windows/system-Verzeichnis mit dem Namen "shimgapi.dll"
2. Mit dem Dateinamen "Message" in das Tmp-Verzeichnis und zeigt den Dateiinhalt mit Notepad an.
3. Als Datei "taskmon.exe" in das Windows/System(32)-Verzeichnis. Sollte die Datei "taskom.exe" bereits vorhanden sein so ersetzt der diese.

Die Datei "shimgabi.dll" ist ein Proxyserver und öffnet einige TCP-Ports (3127 - 3198) wodurch ein Dritter zugriff auf den Rechner erhält. Die integrierte Backdoorfunktion ermöglicht auch den Download und die Installation von weiteren Dateien.

Der Proxyserver (shimgabi.dll) wird durch den Explorer (explorer.exe) gestartet mit dem Registrykey:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll

Weiters wird der Eintrag "TaskMon = %System%\taskmon.exe" an folgende Registryeinträge angefügt:

HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

I-Worm.Mydoom startet ab dem 1. Febraur 2004 eine DoS-Atacke auf die Domain www.sco.com indem er 64 gleizeitige Anfragen an den Port 80 sendet.

Weiters werden folgende Registryeinträge angelegt:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version

und

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version

Da sich I-Worm.Mydoom hauptsächlich per eMail (Eigene SMTP-Engine) verbreitet, wird der infizierte Rechner nach eMailadressen in den Dateien .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab und .txt durchsucht an welche er sich versendet. Sollten Adressen mit der Top-Level-Domain .edu gefunden werden so versendet sich der Wurm nicht an diese.

Weiters versendet sich der I-Worm.Mydoom nicht an die Domains die Teile beinhalten wie:

avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla

Oder an Empfängeradressen wie:

root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page

Und auch an Adressen mit folgenden Teilen versendet sich der Wurm nicht:

admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun


Die eMail hat folgendes Aussehen:

Von:

Variabler Betreff:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Variabler Text:

Mail transaction failed. Partial message is available.

oder

The message contains Unicode characters and has been sent as a
binary attachment.

oder

The message cannot be represented in 7-bit ASCII encoding and has
been sent as a binary attachment.

Variables Attachment:

document
readme
doc
text
file
data
test
message
body

Variable Datei-Endung

pif
scr
exe
cmd
bat
zip

Dateigröße: 22.528 Bytes

Sollte auf dem infizierten Rechner das Filesharingprogramm KaZaA installiert sein, so kopiert sich der Wurm in das Upload-Verzeichnis mit einem der folgenden Namen:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

Und der Dateiendung

pif
scr
bat
exe

Ab dem 12. Februar ist mit keiner weiteren Verbreitung zu rechnen da der Wurm an diesem Tag seine weiterverbreitung per eMail stoppt. Per KaZaA ist aber auch nach diesem Tag mit einer Verbreitung zu rechnen wenn der infizierte User nicht sein Upload-Verzeichnis kontrolliert.

Manuelle Entfernung:

Da I-Worm.Mydoom keine Dateien infiziert oder verändert ist die Entfernung einfach.

1. Löschen des Registryeinträge unter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Taskmon"="%System%\taskmon.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Taskmon"="%System%\taskmon.exe"

2. Löschen der Registryeinträge

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version

3. Task der Datei "shimgapi.dll" beenden und die Datei löschen

4. Löschen der Datei "taskmon.exe"

Der Beitrag wurde von admin K bearbeitet: 27 Jan 2004, 14:42