I-Worm.Mydoom, verbreitet sich u.a. über Filesharing Pr Einstellungen

[admin K]

Zurzeit ist der Wurm I-Worm.Mydoom unterwegs !!

alias WORM_MIMAIL.R, W32.Novarg.A@mm

Der I-Worm.Mydoom kommt per Attachment einer eMail auf Ihren PC mit einer der folgenden Dateiendungen: .bat, .cmd, .exe, .pif oder .zip.

Wird der I-Worm.Mydoom durch Doppelklick aktiviert kopiert er sich

1. In das Windows/system-Verzeichnis mit dem Namen "shimgapi.dll"
2. Mit dem Dateinamen "Message" in das Tmp-Verzeichnis und zeigt den Dateiinhalt mit Notepad an.
3. Als Datei "taskmon.exe" in das Windows/System(32)-Verzeichnis. Sollte die Datei "taskom.exe" bereits vorhanden sein so ersetzt der diese.

Die Datei "shimgabi.dll" ist ein Proxyserver und öffnet einige TCP-Ports (3127 - 3198) wodurch ein Dritter zugriff auf den Rechner erhält. Die integrierte Backdoorfunktion ermöglicht auch den Download und die Installation von weiteren Dateien.

Der Proxyserver (shimgabi.dll) wird durch den Explorer (explorer.exe) gestartet mit dem Registrykey:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll

Weiters wird der Eintrag "TaskMon = %System%\taskmon.exe" an folgende Registryeinträge angefügt:

HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

I-Worm.Mydoom startet ab dem 1. Febraur 2004 eine DoS-Atacke auf die Domain www.sco.com indem er 64 gleizeitige Anfragen an den Port 80 sendet.

Weiters werden folgende Registryeinträge angelegt:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version

und

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version

Da sich I-Worm.Mydoom hauptsächlich per eMail (Eigene SMTP-Engine) verbreitet, wird der infizierte Rechner nach eMailadressen in den Dateien .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab und .txt durchsucht an welche er sich versendet. Sollten Adressen mit der Top-Level-Domain .edu gefunden werden so versendet sich der Wurm nicht an diese.

Weiters versendet sich der I-Worm.Mydoom nicht an die Domains die Teile beinhalten wie:

avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla

Oder an Empfängeradressen wie:

root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page

Und auch an Adressen mit folgenden Teilen versendet sich der Wurm nicht:

admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun


Die eMail hat folgendes Aussehen:

Von:

Variabler Betreff:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Variabler Text:

Mail transaction failed. Partial message is available.

oder

The message contains Unicode characters and has been sent as a
binary attachment.

oder

The message cannot be represented in 7-bit ASCII encoding and has
been sent as a binary attachment.

Variables Attachment:

document
readme
doc
text
file
data
test
message
body

Variable Datei-Endung

pif
scr
exe
cmd
bat
zip

Dateigröße: 22.528 Bytes

Sollte auf dem infizierten Rechner das Filesharingprogramm KaZaA installiert sein, so kopiert sich der Wurm in das Upload-Verzeichnis mit einem der folgenden Namen:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

Und der Dateiendung

pif
scr
bat
exe

Ab dem 12. Februar ist mit keiner weiteren Verbreitung zu rechnen da der Wurm an diesem Tag seine weiterverbreitung per eMail stoppt. Per KaZaA ist aber auch nach diesem Tag mit einer Verbreitung zu rechnen wenn der infizierte User nicht sein Upload-Verzeichnis kontrolliert.

Manuelle Entfernung:

Da I-Worm.Mydoom keine Dateien infiziert oder verändert ist die Entfernung einfach.

1. Löschen des Registryeinträge unter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Taskmon"="%System%\taskmon.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Taskmon"="%System%\taskmon.exe"

2. Löschen der Registryeinträge

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version

3. Task der Datei "shimgapi.dll" beenden und die Datei löschen

4. Löschen der Datei "taskmon.exe"

Der Beitrag wurde von admin K bearbeitet: 27 Jan 2004, 14:42

[soundfreak]

habn leider glöscht, echt schad um das teil *fg*

[treasure x]

Ich glaub ich werd mir jetzt auch eine Sammlung zulegen...

Den Blaster hätte man zum perfekten Computerkiller umbauen können...

(IMG:http://www.technoboard.at/style_emoticons/default/biggrin.gif)

[danilo roggy]

find ich toll von dir das du die user auf den worm hinweist
greetz

[AcidJunky81]

....ich kann damit nix anfangen...bin ja kein fachmann...

[cccp]

Neue Version von Mydoom attackiert Microsoft

E-Mail-Wurm bricht alle Rekorde

Helsinki (pte, 29. Januar 2004 11:35) - Der finnische Anti-Viren-Spezialist F-Secure http://www.f-secure.co warnt vor dem schlimmsten Wurmangriff in der Geschichte. Laut F-Secure hat Mydoom in seiner Verbreitungsperformance bereits den Rekord des legendären Sobig.F eingestellt. Ein Drittel aller in Europa verschickten E-Mails soll mit Mydoom infiziert sein. Die neu entdeckte Migration Mydoom.B startet nicht nur, wie sein Vorgänger, eine Denial-of-Service Attacke (DoS) gegen www.SCO.com sondern attackiert auch die Website von Microsoft.

Die explosionsartige Ausbreitung der Malware führt F-Secure auf eine exakte Angriffsstrategie zurück. Die Verbreitung begann präzise während der Hauptgeschäftszeit in den USA, so konnte der Wurm sofort einige große Firmennetzwerke infizieren. Weiters überlistet Mydoom durch raffiniertes Social Engineering die meisten User.

Der Wurm tarnt sich als Fehlermeldung des Systems und animiert so zum Ausführen des Attachements. Der infizierte Anhang versteckt sich in einem ZIP-Archiv, das vertrauenswürdiger wirkt als andere Dateien. Weiters scannt er nicht nur nach E-Mail-Adressen auf dem Wirt-Rechner sondern ist auch in der Lage neue Adressen zu generieren.

Durch eine besonders ausgeklügelte Self-Security-Engine kann Mydoom.B den Zugriff infizierter Rechner auf Webseiten von Anti-Viren-Herstellern unterbinden. Der User ist dann nicht mehr in der Lage, die Seiten von Trend Micro, Symantec, McAfee, F-Secure, Sophos und Kaspersky aufzurufen um Removal-Tools zu laden.

http://www.heise.de/newsticker/meldung/44092

http://www.heise.de/newsticker/meldung/44114


Also Leute --> am besten erst gar keine fragwürdigen Attachments öffnen zur Zeit --> Virenscanner bieten nicht 100% Sicherheit!!!

Der Beitrag wurde von cccp bearbeitet: 29 Jan 2004, 22:13

[treasure x]

Es war grad in ganz Österreich Mailstillstand. Laut Telekom verursacht durch den mydoom...

(IMG:http://www.technoboard.at/style_emoticons/default/biggrin.gif)

[admin K]

auf den Telekom Servern vielleicht (IMG:http://www.technoboard.at/style_emoticons/default/hah.gif)

Der Beitrag wurde von admin K bearbeitet: 30 Jan 2004, 11:23

[treasure x]

Die sind ja bekanntlich nicht die hellsten bei dem Verein. Aber Hauptsache sie bieten jetzt einen "zuverlässigen neuen Virenschutz" an... (IMG:http://www.technoboard.at/style_emoticons/default/cunao.gif)

[admin K]

Das einfachste um dieser ganzen Virenproblematik Herr zu werden wäre sowieso wenn jeder Provider schon Serverseitig einen Virenscanner installiert und nicht darauf vertraut das sich der User selbst schützt.

z.B.: http://www.mymailwall.at/

Der Beitrag wurde von admin K bearbeitet: 30 Jan 2004, 11:40

[treasure x]

Schaut gut aus. Bei jedem Anbieter, bei dem Du webspace kaufst gibts das schon im Angebot inkludiert, aber die Telekom scheint da noch etwas rückständig zu sein...

[The Blobb]

Ist ja komisch, überall wird von dem Wurm berichtet und jede 3. Mail soll befallen sein aber zu mir kommt er wohl nicht.
Dabei erhalte ich auch 30-40 Spam-Mails täglich, der Wurm scheint mich nicht zu mögen. *g*
Habe aber eh NIS 2004 drauf und er würde den abfangen.

[soundfreak]

mmm - gestern erst knappe 200 virenwarnungen gelöscht ...

grmml

scheint ein ganz ein netter zu sein (IMG:http://www.technoboard.at/style_emoticons/default/devil.gif)

[treasure x]

Also ich habe bis jetzt auch noch kein Exemplar in die Finger bekommen, obwohl ich unser gesamtes Firmennetzwerk betreue... Ich glaub der macht einen Bogen um mich (IMG:http://www.technoboard.at/style_emoticons/default/tounge.gif)

[Zak McCoy]

ein thema was wohl allen hier angeht...

also ich hab mich nun hier angemeldet um vielleicht hier hilfe zu finden...

undzwar gibt es einen provider namens "liwest" bei euch in Östereich... zu finden unter www.liwest.at

von einem user dieses providers bekomme ich wirklich alle 5minuten diesen f*** wurm
leider ist es mir nicht moeglich rauszufinden wer diese person ist... der provider antwortet leider nicht auf meine email
anrufen ist mir dann auch zu teuer da ich in deutschland wohne (IMG:http://www.technoboard.at/style_emoticons/default/wink.gif)

zudem schickt dieser user nun mitlerweile auch diese virenmails mit meiner email adresse raus...

z.B. [email protected]; [email protected] etc.
jedoch gibt es definitiv nur die [email protected] adresse!
diese wird aber auch verwendet wie ich anhand der massigen mailerdeamon mails ersehen konnte

ebenfalls hab ich schon an die [email protected] geschrieben das euer content filter leider falsch funktioniert sorry jungs der is mist... (in der mail zu erlesen warum ^^)

also gebt all euren bekannten, freunden etc. den hinweis die festplatten zu scannen... besonders den einen user der bei liwest angemeldet ist (IMG:http://www.technoboard.at/style_emoticons/default/wink.gif)

so jetzt noch etwas fuer fachmenschen und die die glauben es zu seien hier ein header den ich vom technoboard content filter zurueck bekommen habe...

------------------------- BEGIN HEADERS -----------------------------
Received: from zak-mccoy.de (cm174-204.liwest.at [81.10.174.204])
by www.technoboard.at (Postfix) with ESMTP id B6B57C3AC1
for ; Wed, 4 Feb 2004 11:47:22 +0100 (CET)
From: [email protected]
To: [email protected]
Subject: HI
Date: Wed, 4 Feb 2004 11:48:27 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0011_ADAB7805.8441C89B"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <[email protected]>
-------------------------- END HEADERS ------------------------------

wichtig hierbei ist nich die received adresse in dem fall zak-mccoy.de
sondern der dahinter in klammern stehende provider der ich nich sein kann weil... wie gesagt in deutschland wohne... dazu t-online habe und diese immer mit 217.xx.... adressiert ist... ein gutes hat jedoch euer content filter... er schmeisst die viren weg... der nachteil aber er schickt die viren info mails zu mir was nicht sonderlich spassig ist!


im uebrigem bitte ich den webmaster dieses thema als global thema zu setzen denn es ist einfach nicht mehr lustig mit den wuermern und viren!

soviel erstmal dazu!

mfg, Zaky

[soundfreak]

danke dir, gepinnt ist das thema mal, admini ist auch mal informiert und wird sich das mal ansehn.

[Zak McCoy]

danke (IMG:http://www.technoboard.at/style_emoticons/default/smile.gif)
keine macht den viren, wuermern und trojanern, den ungewollten kindern, den krieg, der IFPI und der GEMA, der boesartigen Schwiegermutter usw usw ^^

Der Beitrag wurde von Zak McCoy bearbeitet: 4 Feb 2004, 18:05

[cccp]

wichtig hierbei ist nich die received adresse in dem fall zak-mccoy.de
sondern der dahinter in klammern stehende provider der ich nich sein kann weil... wie gesagt in deutschland wohne... dazu t-online habe und diese immer mit 217.xx.... adressiert ist... ein gutes hat jedoch euer content filter... er schmeisst die viren weg... der nachteil aber er schickt die viren info mails zu mir was nicht sonderlich spassig ist!

Diese Technik nennt sich EMail Spoofing. Das heißt, auf einem infizierten System sucht der Wurm nach EMail-Adressen. Findet er 2 Adressen oder mehr, setzt er eine ins From-Field und eine ins SendTo-Field, sodass es scheint, ein anderer hätte das Mail gesendet. Unten die englische Erklärung von Symantec.

Email spoofing
New worms often use a technique called "spoofing." When the worm performs its email routine, it can use a randomly chosen address it finds on an infected computer as the "From:" address. Numerous cases have been reported in which users of uninfected computers received complaints that they sent an infected message to someone else.

For example, Linda Anderson is using a computer infected with W32.Novarg.A@mm, Win32/Shimg, W32/MyDoom-A, I-Worm.Novarg, Worm/MyDoom.A2, WORM_MIMAIL.R Linda is not using an antivirus program or does not have the current virus definitions. When W32.Novarg.A@mm, Win32/Shimg, W32/MyDoom-A, I-Worm.Novarg, Worm/MyDoom.A2, WORM_MIMAIL.R performs its emailing routine, it finds the email address of Harold Logan. The worm inserts Harold's email address into the "From:" portion of an infected message, which the worm then sends to Janet Bishop. Then, Janet contacts Harold and complains that he sent her an infected message, but when Harold scans his computer, Norton AntiVirus (NAV) does not find anything because his computer is not infected.

Auch nicht infizierte Anwender werden Opfer

Seine massenhafte Verbreitung erzielt der Schädling auch durch die Fälschung der Absender, mit der er sogar aktivierte Antivirensoftware für seine Zwecke "einspannt". Erkenne die Antivirensoftware eine infizierte Mail, werde diese zwar abgeblockt, erläuterte Fischer. Die dann versendeten Fehler- und Hinweismeldungen gingen jedoch an die gefälschten Absender.
"Der Benutzer bekommt also nicht nur die verseuchten Virus-Mails, sondern auch die unverschuldeten Warnmeldungen in sein Postfach." Zudem öffne der Wurm auf dem befallenen Rechner eine "Hintertür", über die Daten wie persönliche Korrespondenz, Kreditkartennummern oder PIN-Codes ausspioniert werden können, sagte Michael Dickopf vom Bundesamt für Sicherheit in der Informationstechnologie (BSI).

Der Beitrag wurde von cccp bearbeitet: 4 Feb 2004, 18:59

[B.]

endlich hat der kleine auch meiner mailbox einen besuch abgestattet. an und für sich nichts aufregendes - abgesehen von der tatsache, daß ich schon ein klein wenig an der existenz des rackers gezweifelt habe (IMG:http://www.technoboard.at/style_emoticons/default/wink.gif) - aber was doch erwähnenswert ist:

als absender hat er sich [email protected] ausgesucht (absender wird ja gefaked) und da sicher einige von hier das standard-radio kennen und vielleicht nicht weiter nachdenken, falls sie den wurm über bekannte adressen bekommen, wollte ich nochmal darauf hinweisen, lieber nicht überall blind draufzuklicken, auch wenn die mail von freunden, vereinen u.ä. kommt.

im zweifelsfall hilft ein blick auf http://hoaxinfo.de

[Zak McCoy]

jo wie gesagt meine adresse nimmt der schweinehund ja auch (IMG:http://www.technoboard.at/style_emoticons/default/sad.gif)