eMailDienst.at | Virus-Information: W32.Mydoom.A (Detail)

zurück zur Übersicht

W32.Mydoom.A
Virus-Information

aktualisiert
28.01.2004-23:09

Name:

W32.Mydoom.A (W32.Novarg.A@mm, I-Worm.Mydoom)

• 28.01.2004: bösartigere Variante "W32.Mydoom.B" im Umlauf!

Alias in V-Check:

W32/Mydoom-A

Datum:

27.01.2004

Typ:

Massen-Mail-Wurm mit Attachment

Betrifft:

alle gängigen Windows-Betriebssysteme:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Auswirkung:

W32.Mydoom.A ist ein Massen-Mail-Wurm, der als Anhang einer eMail mit der Dateierweiterung .bat, .cmd, .exe, .pif, .scr oder .zip kommt und durch Öffnen des Attachments gestartet wird.

Wenn ein Computer infiziert wird, richtet der Wurm eine Hintertür ("Backdoor") im System ein, indem er die TCP-Ports 3127 bis 3198 öffnet. Dadurch könnte ein Angreifer eine Verbindung zum Computer herstellen und ihn verwenden, um Zugriff auf dessen Netzwerkressourcen zu erhalten.

Außerdem können über die Hintertür beliebige Dateien heruntergeladen und ausgeführt werden.

Der Wurm wird ab dem 1. Februar 2004 einen Denial-of-Service (Dos)-Angriff durchführen.
Betroffen ist (derzeit) die Ziel-Domain www.sco.com indem er mehrere gleizeitige Anfragen an den Port 80 sendet.

Der Wurm ist so programmiert, dass er am 12. Februar 2004 aufhört, sich zu verbreiten.

Info:

W32.Mydoom.A überschreibt die Datei Taskmon.exe im Systemverzeichnis
Aber Achtung:
Taskmon.exe ist eine legitime Datei in den Betriebssystemen Windows 95/98/Me, die im Systemverzeichnis gespeichert ist. (Standardmäßig ist dies das Verzeichnis C:\Windows oder C:\Winnt.) Sie sollten diese Datei nicht versehentlich löschen!

W32.Mydoom.A benützt zur Verbreitung auch eMailadressen, die er auf der Festplatte (zB: in temporären oder gespeicherten Datein besuchter Webseiten) eines befallenen Rechners findet, und fälscht dann die Absenderadresse.
Antworten - an den vermeintlichen Absender haben also keinen Sinn.

Da sich W32.Mydoom.A hauptsächlich per eMail (eigene SMTP-Engine) verbreitet, wird der infizierte Rechner nach eMail-Adressen in den Dateien .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab und .txt durchsucht an welche er sich versendet. Sollten Adressen mit der Top-Level-Domain .edu gefunden werden so versendet sich der Wurm nicht an diese.

Folgende Betreffzeilen deuten auf ein infiziertes eMail hin:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Folgende Attachments deuten auf ein infiziertes eMail hin:

document
readme
doc
text
file
data
test
message
body

Das Attachment kann zwei Erweiterungen haben. - zB: "data.txt.zip"
Ist dies der Fall, so ist die erste Dateierweiterung eine der folgenden:
Die letzte Dateierweiterung ist in jedem Fall eine der folgenden:
.pif
.scr
.exe
.cmd
.bat
.zip

Der Wurm kopiert sich auch in das KaZaA-Download-Verzeichnis - falls das installiert wurde.

Die Nachricht selbst kann so aussehen:

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

test

W32.Mydoom.A "verschont" - dh. sendet nicht an bestimmte Empfänger-Domais, welche u.a. diese Zeichenfolgen enthalten:

avp , syma , icrosof , msn. , hotmail , panda , sopho , borlan , inpris , example , mydomai , nodomai , ruslis , .gov , gov. , .mil , foo. , berkeley , unix , math , bsd , mit.e , gnu , fsf. , ibm.com , google , kernel , linux , fido , usenet , iana , ietf , rfc-ed , sendmail , arin. , ripe. , isi.e , isc.o , secur , acketst , pgp , tanford.e , utgers.ed , mozilla

W32.Mydoom.A "verschont" auch Webmaster und Serverbetreiber - dh. sendet nicht an bestimmte email-Konten, welche mit den folgenden Zeichenfolgen übereinstimmten:

root , info , samples , postmaster , webmaster , nobody , your , you , me , site , contact , privacy , service , help , page

Aber: office@.... ist nicht in der Ausnahmeliste und wird beschickt !!

Und auch an Adressen mit folgenden Teilen versendet sich der Wurm nicht:
Er mag "Microsoft" und "google" ... ;-))

admin, icrosoft , support , ntivi , unix , bsd , linux , listserv , certific , google , accoun

W32.Mydoom.A kann auch anhand folgender Registryeinträge *) erkannt werden:

HKEY_CURRENT_USER\ Software\ Microsft\ Windows\ CurrentVersion\ Run
Eintrag: "TaskMon = %System%\taskmon.exe"
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Eintrag: "TaskMon = %System%\taskmon.exe"
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32\ Version
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComDlg32\ Version

*) Warnung:
Wenn Sie sich mit dem Registry-Editor nicht auskennen, lassen Sie die Finger davon!

Folgende aktive Tasks deuten auf eine Infektion hin:

Task der Datei "shimgapi.dll" beenden und die Datei löschen!

Links:

Entfernung:

Die Entfernung bzw. Anwendung von Removal-Tools wird von uns nicht supportet und erfolgt auf Ihre eigene Gefahr!

Manuell:
  Entfernen der Registryeinträge.
  Task der Datei "shimgapi.dll" beenden und die Datei löschen.
  Löschen der Datei "taskmon.exe".

Entfernungs-Tools:

Ikarus-Software (EXE-Datei)

zurück zur Übersicht

eMailDienst.at | Virus-Information: W32.Mydoom.A (Detail)Detail-Inhalte:
index.php
index.htm
index.html
Willkommen bei eMail-Services (powered by WebDienst.at)
eMail-Adresse mit Anti-Virus und Anti-Spam
Anti-Spam-Filter gegen unerwünschte Werbemails
Online-Virenschutz bei eMailDienst vernichtet mit Viren infizierte eMails
ihr Domainname - Domain registrieren
schneller Webserver (Hosting)
Domainnamen, Webserver, Web-Design, Web-Promotion, eMail, Virenschutz, Spam-Filter
Begriffe / F.A.Q.
Ihre persönliche Frage / Nachricht (Kontakt)
Bestellen Sie Ihre eigenen eMail-Adresse
TellIt a Friend
Virus-Warnungen
IKARUS myMailWall
emaildienst.at
mailweb.at
emailbox.at
Zur korrekten Ansicht dieser Seite(n)
muß Java-Script aktiviert sein. • STICHWORTE:

Domain - Domains - Domainname - Domainnamen:
Land - Länder - Staat - Staaten - Countries: weltweit, global, europa, österreich, österr. und deutschland
webdienst.at, internet, provider registrar, domain, names, registration, domains, domainname, registrierung, webhosting, domainkauf, hosting, toplevel, register, namen, domain search, services, domainregistrierung, registrieren, system, eu-domain vorreservierung, global, international, weltweit, network, österreichische, österreich, dienstleistungen, systems, pending delete domains, gelöschte domain, domainnamen, webserver, eu-domains, Domainname noch frei, visions.at, Server, Webspace, neue Top Level Domain .eu, design, domainname,abgelaufen, catch, domainnamen, domainsuche, domains, domaingebühren, domainhandel, domainmarkt, domainkauf, domainnamensuche, domainnamenvergabe, domainnames, domain-name, domainportal, domain-registrierung, domaines, domain-service, hosting, ihrefirma, internet, internetpräsentation, mailserver, management, mydomain, nic, power, provider, providerwechsel, providing, register, registration, registrieren, registrierung, registry, seiten, service, sicherheit, subdomain, submit, success, support,grab topdomain, topleveldomain, url, verzeichnis, vorregistrieren, vormerken, web, webdienst.biz, dial, webmarketing, webseiten, Webserver, werbung, wunschdomain, expired, buy domains, transfer domain names, kk, domain-catcher, gelöschte domains, pending deleted domains, deleteddomains, freie, freigeworden, domainregistrierung, domainregistrierungen, reseller, dns, check, domaincheck, webspace, php, mysql, asp, live, video, chat, web-hosting, housing, dedicated, dediziert, nic, registrar, registration, registrierung, hit, traffic, domains für reseller, günstige domainnamen, rasche und kompetente registrierung, verschiedene tlds globale aus allen Ländern, domainpreise, domainabfrage, domaincheck, domainhosting, webhosting, domain, php, cgi, mysql, apache, Registrar, PHP, PHP4, SQL, SSL, Statistiken, request, heute registrieren, schneller server, individueller webspace, ihr domainname wird rasch registriert, Internet Projekte, gefunden, besucht, Aufträge, Marketing, Qualitätshosting, Statistik, Web-Statistik, Zugriffe, Erfolg, Domainname, wenige Domainnamen, Verweise, Seitengestaltung, neue Technologien, Flash, Intros, Ladezeiten, Suchmaschinen, suma, seo, Surfer, Angebote, Registrierung, Kataloge, zuwenige Links, falsche Suchbegriffe, Domain- und Suchmaschinen-Marketing, WebPromotion-Service, Kaufwahrscheinlichkeit, Platzierungen Ihrer Seiten, Suchergebnisse, Werbeform, click to buy-Verhältnis, Wahrscheinlichkeit, fundierte Analyse, Suchbegriffe, perfekt zu Ihren Produkten, weit vorne, Werbebanner, promotion, Investition
Weitere Projekte (zum Thema):WebDienst.at | Internet-Service-Provider, Domain, Domainnamen, Webserver, ConsultingWebDienst.infoWebDienst.bizDomains in allen LändernVisions at InternetWeb4You.at - Domainnamen u. Webserver