Win32.Mydoom.P@mm VirenSignatur bei Virenschutz.info

Win32.Mydoom.P@mm - Virensignatur bei Virenschutz.info

A | B | C | D | E | F | G | H | I | J | K | L | M |
N | O | P | Q | R | S | T | U | V | W | X | Y | Z | Viren-Lexikon

Bezeichnung

Name

Typ

Mydoom.P@mm

Win32.Mydoom.P@mm

Ausführender Massenmailer

Schaden

Entdeckt

Ermittelt

Niedrig

04.08.2004

Größe

Verbreitung

Noch unterwegs

31232 bytes, gepackt

Gering

Nein

Andere Namen

Mydoom

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS

Symptome :

Präsenz der Dateien %WINDIR%\svchost.exe,%SYSTEM%\upu.exe und %%SYSTEM%\setupex.exe.

Präsenz des Regitry Key:
%HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\nwiz = %WINDIR%\svchost.exe.

Technische Beschreibung:

Dieser Wurm hat mehr als eine Verbreitungsmethode ( er ist sowohl ein Massenmailer als auch ein p2p Wurm ) und er legt verschiedene Komponenten ab.

Wenn er läuft, erscheint eine vorgetäuschte Fehlermeldung von dieser Liste:
'File is corrupted.'
'Could not initialize installation. File size expected=26523,size returned=26344.'
'Pack method not implemented.'
'CRC checksum failed.'

Der Hauptdatei des Wurmes legt zwei Dateien auf der Festplatte ab, %SYSTEM%\setupex.exe und %WINDIR%\svchost.exe und kopiert sich selbst in %SYSTEM%\upu.exe.
Er startet die zwei abgelegten Dateien und beendet sich..

Svchost.exe file:

schafft einen Mutex namens ARKO.
Sucht nach dem KAZAA Directory und kopiert die Datei %SYSTEM%\rupu.exe dorthin, mit einem der folgenden Namen:

'tc6.X_Uni_crk'
'the_bat2.11.X_crack_by_UTeam'
'pc-telephone'
'klcodec250f'
'wrar340'
'wrar3.40xcrk'
'MyIE3.05b'
'lProxyServ1.1'
'WM9Codecs'
'winKiller'
'freeMailBases'
'Winamp 5.5b'
'YN 2.6'

mit einer .exe Endung.
Dann listet er sie Shares im Netzwerk auf und versucht sich auf die selbe Weise in jedes erreichbare Netzwork Share zu kopieren.
Er fügt sich selbst dem System Startup zu, indem er den folgenden Registry Wert schafft
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\nwiz = %WINDIR%\svchost.exe

Dann sammelt er Mail Adressen von Dateien mit den Endungen php,htm,html,txt,tbb
und sendet Mails (er nutzt seine eigene SMTP Maschine und DNS Abfragen), mit einem falschen Absender, in folgendem Format:
Subjects:

'Hi! How are you?'
'Hello. We would like to present to you...'
'Baby, where are you?'
'Luck letter'
'Look that muck in archive you have sent me: (('
'Free dispatch of sex magazine!'
'Subscription to news of electronic magazine.'
'Mail delivery report.'

Bodies:

'Why have you absolutely forgotten about me, my friend? Why do not you write, do not answer my letters?'
'Our company offers new and completely revolutionary kind of services. Callsfrom your cellular phone worldwide free of charge! If you are interested in our offer answer this letter and receive from our manager full description of the service.'
'We have agreed to go to the party to our friends yesterday. Why are you silent?'
'Send this letter to any of your friends and luck will find you.'
'See attachment'
'Best photos of our best girls!'
'We suggest you to subscribe for free of charge newsletter of our electronic magazine.
The questionnaire is applied in attachment of this letter.'
'Not valid message headers for mail system.The message sent as a binary attachment.'

Anhänge:

'present.exe'
'127D0A1D-4EF2-11D1-8608-00C04FC295EE.doc.cat.exe'
'binary_content.pif'
'binary.pif'
'JIHSIE8937745JH.SETOUUY.23542435-EWTRWE8324.EXE'
'PUBLIC_127D0A1D-4EF2-11D1-8608-00C04FC295EE.ZIP.ARH.PIF'
'SubscribeFLASH.exe'
'40EC5FBE.EXE'

[ Zurück zum Anfang ]

>> AntiVirus Lexikon

An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:

Portscanner
der Portscanner dient dazu Ihre Firewall zu testen

Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.

Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.

antivirus \| virenscanner \| spyware \| anonym-surfen \| antivirensoftware \| wlan
Quicklinks: