Zurzeit ist der Wurm I-Worm.Mydoom unterwegs !!
alias WORM_MIMAIL.R, W32.Novarg.A@mm
Der I-Worm.Mydoom kommt per Attachment einer eMail auf Ihren PC mit einer der folgenden Dateiendungen: .bat, .cmd, .exe, .pif oder .zip.
Wird der I-Worm.Mydoom durch Doppelklick aktiviert kopiert er sich
1. In das Windows/system-Verzeichnis mit dem Namen "shimgapi.dll"
2. Mit dem Dateinamen "Message" in das Tmp-Verzeichnis und zeigt den Dateiinhalt mit Notepad an.
3. Als Datei "taskmon.exe" in das Windows/System(32)-Verzeichnis. Sollte die Datei "taskom.exe" bereits vorhanden sein so ersetzt der diese.
Die Datei "shimgabi.dll" ist ein Proxyserver und öffnet einige TCP-Ports (3127 - 3198) wodurch ein Dritter zugriff auf den Rechner erhält. Die integrierte Backdoorfunktion ermöglicht auch den Download und die Installation von weiteren Dateien.
Der Proxyserver (shimgabi.dll) wird durch den Explorer (explorer.exe) gestartet mit dem Registrykey:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll
Weiters wird der Eintrag "TaskMon = %System%\taskmon.exe" an folgende Registryeinträge angefügt:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
I-Worm.Mydoom startet ab dem 1. Febraur 2004 eine DoS-Atacke auf die Domain www.sco.com indem er 64 gleizeitige Anfragen an den Port 80 sendet.
Weiters werden folgende Registryeinträge angelegt:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
und
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
Da sich I-Worm.Mydoom hauptsächlich per eMail (Eigene SMTP-Engine) verbreitet, wird der infizierte Rechner nach eMailadressen in den Dateien .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab und .txt durchsucht an welche er sich versendet. Sollten Adressen mit der Top-Level-Domain .edu gefunden werden so versendet sich der Wurm nicht an diese.
Weiters versendet sich der I-Worm.Mydoom nicht an die Domains die Teile beinhalten wie:
avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla
Oder an Empfängeradressen wie:
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page
Und auch an Adressen mit folgenden Teilen versendet sich der Wurm nicht:
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun
Die eMail hat folgendes Aussehen:
Von:
Variabler Betreff:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Variabler Text:
Mail transaction failed. Partial message is available.
oder
The message contains Unicode characters and has been sent as a
binary attachment.
oder
The message cannot be represented in 7-bit ASCII encoding and has
been sent as a binary attachment.
Variables Attachment:
document
readme
doc
text
file
data
test
message
body
Variable Datei-Endung
pif
scr
exe
cmd
bat
zip
Dateigröße: 22.528 Bytes
Sollte auf dem infizierten Rechner das Filesharingprogramm KaZaA installiert sein, so kopiert sich der Wurm in das Upload-Verzeichnis mit einem der folgenden Namen:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Und der Dateiendung
pif
scr
bat
exe
Ab dem 12. Februar ist mit keiner weiteren Verbreitung zu rechnen da der Wurm an diesem Tag seine weiterverbreitung per eMail stoppt. Per KaZaA ist aber auch nach diesem Tag mit einer Verbreitung zu rechnen wenn der infizierte User nicht sein Upload-Verzeichnis kontrolliert.
Manuelle Entfernung:
Da I-Worm.Mydoom keine Dateien infiziert oder verändert ist die Entfernung einfach.
1. Löschen des Registryeinträge unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Taskmon"="%System%\taskmon.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Taskmon"="%System%\taskmon.exe"
2. Löschen der Registryeinträge
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
3. Task der Datei "shimgapi.dll" beenden und die Datei löschen
4. Löschen der Datei "taskmon.exe"