Orginal von http://www.bsi.de/av/vb/mydoomb.htm
Name: W32.MyDoom.B@mm
Alias: Mydoom.B [F-Secure],
W32/Mydoom.b@MM [McAfee],
WORM_MYDOOM.B [Trend],
Win32.Mydoom.B [Computer Associates],
I-Worm.Mydoom.b [Kaspersky],
W32/MyDoom-B [Sophos]
Art: Wurm
Größe des Anhangs: 29.184 Bytes, 6.144 Bytes (ZIP-Datei)
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Massenmailing,
Installation eines Backdoors,
DoS Angriff
Spezielle Entfernung: Tool
bekannt seit: 28. Januar 2004
Beschreibung:
W32.MyDoom.B@mm ist eine Variante von W32.Novarg.A@mm, alias W32.MyDoom.A@mm.
Der Wurm versendet sich in Dateien mit den Endungen .bat, .cmd, .exe, pif, .scr und .zip. Zusätzlich verbreitet er sich über den Downloadbereich des Peer-To-Peer-Netzwerks KaZaA.
Wie sein Vorgänger, installiert auch MyDoom.B ein Backdoor-Programm, mit dem ein Zugriff auf den Rechner von aussen mögich ist. Es verwendet die Ports 80, 1080, 3128, 8080, und 10080 und ist in der Lage, weitere Programme aus dem Internet zu laden und auszuführen. Das Backdoor wird bei der Infektion des Systems als Datei Ctfmon.dll in das Systemverzeichnis von Windows kopiert. (%System%\Ctfmon.dll).
MyDoom.B startet am 1. Februar 2004 ein DoS-Angriff gegen die Internetseite https://localhost/www.sco.com und am 3. Februar 2004 gegen https://localhost/www.microsoft.com.
Der Wurm legt weiterhin die Dateien Message (%Temp%\Message) und Explorer.exe (%System%\Explorer.exe) an.
Message enthält nicht lesbare Zeichen und wird bei der Infektion mit dem Windows-Programm Notepad angezeigt.
Explorer.exe enthält das Wurmprogramm.
Hinweis:
%System% und %Temp% sind Systemvariablen, die den tatsächlichen Dateipfad enthalten. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.
Achtung:
Explorer.exe ist (auch) ein Windows-Programm. Das originale Programm Explorer.exe befindet sich im Windows-Verzeichnis, nicht im Windows-System-Verzeichnis.
Mit dem Registrierungsschlüssel
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
oder
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Explorer" = "%System%\Explorer.exe"
wird der Wurm MyDoom.B bei jedem Systemstart aktiviert.
Mit einem weiteren Schlüssel
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
"(Default)" = "%System%\ctfmon.dll"
aktiviert sich die Backdoor-Komponente beim Rechnerstart.
Änderungen im Betriebssystem bewirken, dass verschiedene Internetseiten nicht mehr zugreifbar sind. Darunter sind viele Seiten von Antiviren-Herstellern. Die Internetseiten sind:
ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
https://localhost/www.avp.ch
https://localhost/www.avp.com
https://localhost/www.avp.ru
https://localhost/www.awaps.net
https://localhost/www.ca.com
https://localhost/www.fastclick.net
https://localhost/www.f-secure.com
https://localhost/www.kaspersky.ru
https://localhost/www.mcafee.com
https://localhost/www.microsoft.com
https://localhost/www.my-etrust.com
https://localhost/www.nai.com
https://localhost/www.networkassociates.com
https://localhost/www.sophos.com
https://localhost/www.symantec.com
https://localhost/www.trendmicro.com
https://localhost/www.viruslist.ru
http://www3.ca.com
Wie sein Vorgänger, entnimmt auch MyDoom.B E-Mail-Adressen aus Dateien mit den Endungen .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab und .txt.
Die E-Mail hat folgende Charakteristik:
Von: <Adresse gefälscht>
Betreff: <eine der folgenden>
Returned mail
Delivery Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi
Nachricht: <einer der folgenden>
* sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
* Mail transaction failed. Partial message is available.
* The message contains Unicode characters and has been sent as a binary attachment.
* The message contains MIME-encoded graphics and has been sent as a binary attachment.
* The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Name des Anhangs:
<zufällige Zeichen>
Der Anhang enthält einen oder zwei Dateinamen-Erweiterungen:
.htm
.txt
.doc
Die zweite Erweiterung ist (oder bei nur einer Erweiterung)
.pif
.scr
.exe
.cmd
.bat
.zip
Größe des Anhangs: 29.184 Bytes, 6.144 Bytes (ZIP-Datei)
Im Download-Bereich von KaZaA legt sich der Wurm mit folgenden Dateinamen ab:
icq2004-final
Xsharez_scanner
BlackIce_Firewall_Enterpriseactivation_crack
ZapSetup_40_148
MS04-01_hotfix
Winamp5
AttackXP-1.26
NessusScan_pro
Als Erweiterung verwendet er:
.pif
.scr
.bat
.exe
Entfernung des Wurms MyDoom.B
Bei den Betriebssystemen Windows ME oder XP, muß vor der Entfernung die Systemwiederherstellung deaktiviert werden.
Vor der Entfernung muß der Computer im abgesicherten Modus gestartet werden.
Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer.
Symantec (FxMydoom.exe): Direkt-Download oder Download mit englischer Beschreibung (FxMydoom.exe erkennt die A- und B-Variante des Wurms)
NAI (Stinger.exe): Direkt-Download oder Download mit englischer Beschreibung
Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.
Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
(Erstellt: 29.01.2004)