| Bezeichnung |
Name |
Typ |
| MyDoom.B |
Win32.Mydoom.B@mm (Win32.Novarg.B@mm) |
Ausführende Backdoor Mass Mailer |
| Schaden |
Entdeckt |
Ermittelt |
| Niedrig |
28.01.2004 |
28.01.2004 |
| Größe |
Verbreitung |
Noch unterwegs |
| 29184 bytes, 5632 bytes |
Gering |
Unbekannt |
| Andere Namen |
| I-Worm.Mydoom.b, W32/Mydoom.b@MM, W32/MyDoom-B |
|
|
 |
Symptome :
|
Die folgenden Dateien im Windows System Ordner (%SYSDIR%):
EXPLORER.EXE
CTFMON.DLL
Der folgende Registry Key:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
mit dem Wert:
Explorer = %SYSDIR%EXPLORER.EXE
Aktivität auf den Ports 1080 oder 10080 und 3127.
|
Technische Beschreibung:
|
Dies ist ein Internet Wurm, der sich per Email und Datei Shares verbreitet und Backdoor Fähigkeiten besitzt.
Der Virus beendet den Prozeß TASKMON.EXE, falls der läuft.
In 80% der Fälle öffnet er Notepad mit einer Datei mit zufälligen Ziffern.
in 20% der Fälle zeigt er eine falsche Fehlermeldung an.
Die Backdoor wird im Windows System Ordner installiert unter dem Namen CTFMON.DLL und lauscht auf eiem der folgenden Ports: 1080, 3128, 80, 8080, 10080.
Nach dem 1. März 2004 hat der Wurm seine Verbreitung gestoppt, aber die Backdoor besteht und funktioniert weiter..
Eine Kopie des Virus namens EXPLORER.EXE wird im Windows System Ordner geschaffen, damit er bei jedem Neustart läuft.
Auf Windows NT, 2000, XP oder 2003, ist die Datei (%SYSDIR%driversetchosts) modifiziert, so dass der User folgende Hosts nicht erreichen kann:
• engine.awaps.net
• awaps.net
• www.awaps.net
• ad.doubleclick.net
• spd.atdmt.com
• atdmt.com
• click.atdmt.com
• clicks.atdmt.com
• media.fastclick.net
• fastclick.net
• www.fastclick.net
• ad.fastclick.net
• ads.fastclick.net
• banner.fastclick.net
• banners.fastclick.net
• www.sophos.com
• sophos.com
• ftp.sophos.com
• f-secure.com
• www.f-secure.com
• ftp.f-secure.com
• securityresponse.symantec.com
• www.symantec.com
• symantec.com
• service1.symantec.com
• liveupdate.symantec.com
• update.symantec.com
• updates.symantec.com
• support.microsoft.com
• downloads.microsoft.com
• download.microsoft.com
• windowsupdate.microsoft.com
• office.microsoft.com
• msdn.microsoft.com
• go.microsoft.com
• nai.com
• www.nai.com
• vil.nai.com
• secure.nai.com
• www.networkassociates.com
• networkassociates.com
• avp.ru
• www.avp.ru
• www.kaspersky.ru
• www.viruslist.ru
• viruslist.ru
• avp.ch
• www.avp.ch
• www.avp.com
• avp.com
• us.mcafee.com
• mcafee.com
• www.mcafee.com
• dispatch.mcafee.com
• download.mcafee.com
• mast.mcafee.com
• www.trendmicro.com
• www3.ca.com
• ca.com
• www.ca.com
• www.my-etrust.com
• my-etrust.com
• ar.atwola.com
• phx.corporate-ir.net
• www.microsoft.com
In 80% der Fälle, nach dem 1. Februar 2004 (13:09:18), versucht der Virus die Webseite www.sco.com anzugreifen.
In 70% der Fälle, nach dem 3. Februar 2004 (16:09:18), greift der Virus die Webseite www.microsoft.com an.
Da www.microsoft.com einer der Hosts ist, zu denen der Zugang verwehrt ist, wird sie nicht von Systemen angegriffen, die mit Windows NT, 2000, XP oder 2003 laufen.
Der Wurm kopiert sich in Kazaa Share Ordner als Exe Datei mit diesen Namen:
• NessusScan_pro
• attackXP-1.26
• winamp5
• MS04-01_hotfix
• zapSetup_40_148
• BlackIce_Firewall_Enterpriseactivation_crack
• xsharez_scanner
• icq2004-final
Der Wurm sucht nach Emailadressen in Dateien mit folgenden Endungen:
• .adb
• .asp
• .dbx
• .htm
• .php
• .pl
• .sht
• .tbb
• .txt
• .wab
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Mydoom.B@mm (Win32.Novarg.B@mm) Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
