zurück zur Übersicht

 

  W32.Mydoom.B
Virus-Information 		aktualisiert
31.01.2004-07:15 		 

Name: 

W32.Mydoom.B (W32.Novarg.B@mm, I-Worm.Mydoom.B)
Alias in V-Check W32/MyDoom-B
Datum:  28.01.2004
Typ:  Massen-Mail-Wurm mit Attachment
Betrifft:  alle gängigen Windows-Betriebssysteme:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Auswirkung: 

W32.Mydoom.B ist eine bösartige Variante (Nachfolger) von "W32.Mydoom.A".

Wird der Mydoom.B durch Doppelklick aktiviert, ...

... kopiert er sich ins Windows/system-Verzeichnis mit dem Namen "ctfmon.dll"
... Notepad wird gestartet mit wirren Zeichen und Zahlen
... kopiert er sich Als Datei "explorer.exe" in das Windows/System(32)-Verzeichnis.

Als Erweiterung gegenüber der Vorgängerversion ersetzt die B-Variante die Datei "hosts" (einfach nur "hosts" - kein .txt oder ähnliches!) im Windowsverzeichnis und verhindert dadurch den Zugriff auf folgende Domains:
(Durch die neue Hosts-Datei ist ein Update von Windows bzw. von Virenscannern vieler Virenschutzhersteller nicht mehr möglich!)

ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com

W32.Mydoom.B ist ein Massen-Mail-Wurm, der als Anhang einer eMail mit der Dateierweiterung .bat, .cmd, .exe, .pif, .scr oder .zip kommt und durch Öffnen des Attachments gestartet wird.

Wenn ein Computer infiziert wird, richtet der Wurm eine Hintertür ("Backdoor") im System ein, indem er die TCP-Ports 3127 bis 3198 öffnet. Dadurch könnte ein Angreifer eine Verbindung zum Computer herstellen und ihn verwenden, um Zugriff auf dessen Netzwerkressourcen zu erhalten.

Außerdem können über die Hintertür beliebige Dateien heruntergeladen und ausgeführt werden.

Der Wurm wird ab dem 1. Februar 2004 einen Denial-of-Service (Dos)-Angriff durchführen.
Betroffen ist die Ziel-Domain www.sco.com (schon in Variante-A) und nun auch www.microsoft.com, indem er mehrere gleizeitige Anfragen an den Port 80 sendet.

Der Wurm ist so programmiert, dass er am 1. März 2004 aufhört, sich zu verbreiten.
Die Hintertür ("Backdoor") bleibt aber auch danach offen für Zugriffe von Außen!
Info: 

Analog zu "W32.Mydoom.A".

W32.Mydoom.B benützt zur Verbreitung auch eMailadressen, die er auf der Festplatte (zB: in temporären oder gespeicherten Datein besuchter Webseiten) eines befallenen Rechners findet, und fälscht dann die Absenderadresse.
Antworten - an den vermeintlichen Absender haben also keinen Sinn.

Folgende Absender deuten auf ein infiziertes eMail hin:

variabel@aol.com
variabel@msn.com
variabel@yahoo.com
variabel@hotmail.com

"variabel" könnten folgende Namen sein:
john , alex , michael , james , mike , kevin , david , george , sam , andrew , jose , leo , maria , jim , brian , serg , mary , ray , tom , peter , robert , bob , jane , joe , dan , dave , matt , steve , smith , stan , bill , bob , jack , fred , ted , adam , brent , alice , anna , brenda , claudia , debby , helen , jerry , jimmy , linda , sandra , julie

Folgende Betreffzeilen deuten auf ein infiziertes eMail hin:

Mail Transaction Failed
Unable to deliver the message
Status
Delivery Error
Mail Delivery System
hello
Error
Server Report
Returned mail

Folgende Attachments deuten auf ein infiziertes eMail hin:

body
doc
text
document
data
file
readme
message

Das Attachment kann zwei Erweiterungen haben. - zB: "data.txt.zip"
Ist dies der Fall, so ist die erste Dateierweiterung eine der folgenden:
Die letzte Dateierweiterung ist in jedem Fall eine der folgenden:
.pif
.scr
.exe
.cmd
.bat
.zip

Der Wurm kopiert sich auch in das KaZaA-Download-Verzeichnis - falls das installiert wurde.

Die Nachricht selbst kann so aussehen:

test
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.

 

W32.Mydoom.B kann auch anhand folgender Registryeinträge erkannt werden:
Warnung: Wenn Sie sich mit dem Registry-Editor nicht auskennen, lassen Sie die Finger davon!

  1. HKCR\ CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32
    "Apartment" = "%systemverzeichnis%\ctfmon.dll"
     
  2. HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\
    "Explorer" = "%systemverzeichnis%\Explorer.exe"
     
  3. HKCU\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\
    "Explorer" = "%systemverzeichnis%\Explorer.exe"

wodurch der Explorer bei jedem Windows-Start ausgeführt wird.

Folgende aktive Tasks deuten auf eine Infektion hin:

Task der Datei "ctfmon.dll" beenden und die Datei löschen!

Die Datei "ctfmon.dll" ist ein Proxyserver und öffnet den Port 10080 wodurch ein Dritter Zugriff auf den befallenen Computer erhält.
Die integrierte Backdoor-Funktion ermöglicht auch den Download und die Installation von weiteren Dateien.

Sollte auf dem infizierten Rechner das Filesharingprogramm KaZaA installiert sein, so kopiert sich der Wurm in das Upload-Verzeichnis mit einem der folgenden Namen:

NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final

 

Links:   
Entfernung: 

Die Entfernung bzw. Anwendung von Removal-Tools wird von uns nicht supportet und erfolgt auf Ihre eigene Gefahr!

Manuell:
  Entfernen der Registryeinträge.
  Task der Datei "ctfmon.dll" beenden und die Datei löschen.


Reparatur der "Hosts"-Datei:
1.   lokalisieren Sie die Hosts-Datei (zB: c:\windows\system32\drivers\etc)
2.   Hosts-Datei mit Notepad öffnen
3.   alle Zeilen, die mit "0.0.0.0" beginnen löschen
zB: 0.0.0.0 www.microsoft.com
Achtung: löschen Sie nicht: "127.0.0.1 localhost"
4.   speichern Sie die geänderte Hosts-Datei
5.   Neustart erforderlich

 

Entfernungs-Tools:
Ikarus-Software (EXE-Datei)

 

zurück zur Übersicht