Win32.Mydoom.U@mm - Virensignatur

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

Bezeichnung

Name

Typ

Mydoom.U

Win32.Mydoom.U@mm

Ausführender Massenmailer Wurm Backdoor

Schaden

Entdeckt

Ermittelt

Mittel

03.09.2004

Größe

Verbreitung

Noch unterwegs

37,888 (upx gepackt), 8192 bytes

Mittel

Andere Namen

I-Worm.MyDoom.gen | Win32.HLLM.MyDoom.based

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS

Symptome :

- Präsenz folgender Dateien im %SYSTEM% Ordner: tasker.exe (37,888 bytes) Nemog.dll (8,192 bytes) - Präsenz des folgenden Registry Key, der auf die oben genannte Datei weist: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Task"="%SYSTEM%\tasker.exe"] und auch [HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87 -00AA005127ED}\InprocServer32\] "(Default)" = "%SYSTEM%\Nemog.dll" - Präsenz in der Memory des Prozesses "tasker" wo %WINDOWS% auf den Windows Ordner (oder WinNT bei auf Windows NT basierenden Systemen) weist %SYSTEM% auf den "System" Ordner bei Windows 9x Systemen und "System32" Ordner bei WinNT Systemen weist Wenn der Virus läuft, öffnet er in Notepad Müll.

Technische Beschreibung:

Der Virus kommt als Email in folgendem Format: From: spoofed, may usually appear as from @msn.com, @yahoo.com, @hotmail.com Subject: (one of the following lines) RE:my ..... RE:test Status Server Report Mail Transaction Failed Mail Delivery System hello hi Msg Information Body: (einer der folgenden Sätze) This is a multi-part message in MIME format. Mail transaction failed. Partial message is available. sorry we can't send the mail try later , check the attachment for more information. error , sorry we can't send the email so check the attachment. hello check the attachment thx. hello. !!!!!!!!!!!, check the attachment!!!. Try Later, Check the Attachment. failed to send the email!, check the attachment for more information. check. check the attachment to get the lastest news. come back my friend. loooooool ;))) hello :) failed,check the attachment for more information. error, check the attachment for more information. error to send the mail!!!!!. you can check the attachment for more information. (Norton ANti Virus,Panda,Mcafee No Virusses Found). the attachment for more information. here is what you need,thx. your attachment , thx. Check the attachment for more information!. (Norton Anti Virus : No Virusses Found , Check The Attachment For More Information. test Attachment: Dateiname kann sein: body message test data Datei text doc readme document Anhang kann sein: bat, cmd, exe, scr, pif or zip Wenn der Virus läuft, geschieht Folgendes: 1. Er schafft den Mutex "EnD-Of-SkyNet", um nur einmal in der Memory präsent zu sein. 2. Er schafft einen neuen Thread, der im TEMP Ordner eine Datei namens Message schafft (ca. 4 KBytes), die binären Müll enthält, und er öffnet sie in Notepad. Wenn Notepad geschlossen wird, wird auch der Thread geschlossen und die Datei Message wird gelöscht 3. Er schafft in %SYSTEM% die Datei Nemog.dll und registriert sie in [HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}] 4. Er schafft eine Kopie des Virus im %SYSTEM% Ordner als tasker.exe 5. Er schafft den Registry Key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run] "Task"="%SYSTEM%\tasker.exe"] so dass der Virus bei jedem Neustart läuft 6. Er prüft, ob der Computer mit dem Internet verbunden ist, indem er jede halbe Minute www.microsoft.com checkt. 7. Er ruft den Kazaa Download Ordner ab und schafft dort Kopien des Virus, zusammengesetzt aus folgenden Dateinamen: XXX Pictures, XXX Videos, xbox emulator, ps2 emulator, Hotmail hacker, yahoo hacker, klez, SoBig, mydoom, netsky, Vahos, Upload, crack, Winzip, kazz, Wenrar, mirc, cleaner, SeX, Vaho, Fixtool und den Endungen: bat, pif, scr, exe 8. Er sammelt E-mail Adresse in Dateien wie: wab, pl, adb, tbb, dbx, asp, php, sht, htm und auch in der default WAB Datei 9. Er benutzt seine eigene SMTP Maschine, um sich zu versenden, dabei benutzt er das zuvor beschriebene Format, aber vermeidet es, sich an Email Adressen zu versenden, die Folgendes enthalten: syma, icrosof, panda, sopho, borlan, inpris, example, mydomai, nodomai, ruslis, .gov, gov., .mil, foo. unix, math, bsd, mit.e, gnu, fsf., ibm.com, kernel, linux, fido, usenet, iana, ietf, rfc-ed, sendmail, arin., ripe., isi.e, isc.o, acketst, pgp, tanford.e, utgers.ed, mozilla root, info, samples, postmaster, webmaster, noone, nobody, nothing, anyone, someone, your, you, me, bugs, rating, site, contact, soft, no, somebody, privacy, service, help, not, submit, feste, ca, gold-certs, the.bat, page icrosoft, support, ntivi, unix, bsd, linux, listserv, certific, google, accoun avp, abuse, secur, spam, www, spm 10. Er besitzt Backdoor Fähigkeiten: Nemog.dll öffnet Port 5422 und lauscht nach Befehlen 11. Er öffnet eventuell einen http proxy auf Port 80

Entfernung:

In unserer Bereich der free Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier

Win32.Mydoom.U@mm Removal Tool suchen & downloaden oder hier

zum Forum um Hilfe zu bekommen

[ Zurück zum Anfang ]

>> AntiVirus Lexikon

aktuelle Viren Meldungen

weitere Dienste

An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:

Portscanner
der Portscanner dient dazu Ihre Firewall zu testen

Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.

Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.

AntiVirus News Besuchen Sie auch den tagesaktuellen Antivirus News Bereich AntiVirus News	Testberichte Nach Herstellern geordnet, die User Virenscanner Testberichte hier : Testberichte	Spyware Lexikon Nach Vorbild unseres Virenlexikons haben wir auch ein eigenes : Spyware Lexikon	Tutorials Bereiche Von Virenschutz über Firewall bis Wlan erläutert in unseren Tutorials Bereichen Virenschutz Tutorials	Virenscanner Übersicht Produkt Empfehlungen von Security Software hier bei uns in der Übersicht Übersicht Virenscanner
Virenschutz \| Antivirus \| Virenscanner \| Spyware \| Trojaner
				Datenschutz