| Bezeichnung |
Name |
Typ |
| MyDoom.F |
Win32.MyDoom.F@mm |
|
| Schaden |
Entdeckt |
Ermittelt |
| Hoch |
21.02.2004 |
21.02.2004 |
| Größe |
Verbreitung |
Noch unterwegs |
| 26000 + max. 8096 bytes |
Hoch |
Ja |
| Andere Namen |
| |
|
|
 |
Symptome :
|
- Der Registry Key HKLM/HKCU_SoftwareMicrosoftWindowsCurrentVersionShell;
- Aktivität auf Port 1080
|
Technische Beschreibung:
|
Dieser Mass Mailer kommt als Emailanhang.
Wenn er das erstemal läuft, zeigt er in 70% der Fälle eine der folgenden Meldungen:
Datei is corrupted.
Datei cannot be opened.
Unable to open specified Datei.
In den anderen 30% schafft er eine temporäre Datei namens "Mail", "Body", "Text" oder "Data", gefüllt mit zufällig gewähltem Text und öffnet sie mit Notepad. Wenn der User Notepad schließt, wird sie gelöscht.
Er legt eine DLL bestehend aus 4 bis 8 zufälligen Buchstaben ab im System Ordner (oder im Ordner für temporäre Dateien) und führt sie aus. Diese DLL hat folgende Funktionen:
- auf Win9x Systemen veranlasst sie die RegisterServiceProcess function den Prozess zu verstecken;
- öffnet einen Backdoor Server auf Port 1080; ein verbundener User kann eine Exe Datei schicken, die später ausgerführt wird; sie kann dem infizierten Host auch befehlen, sich mit einem bestimmten Host und Port zu verbinden und dort auf Befehle zu warten;
- beendet Prozesse mit folgendem Text im Namen: "reged", "taskmo", "taskmg", "avp.", "avp32", "norton", "navapw", "navw3", "intrena", "mcafe".
Der Virus kopiert sich im System Ordner (oder dem temporären Ordner) mit einem Namen aus 4 bis 13 zufälligen Buchstaben (mit ".exe" Endung); er hängt maximal 8096 bytes an das Ende der Datei (offset 26000) so dass die Kopie nicht identisch ist mit der Original Version.
Zwischen dem 17. und 22. des Monats, falls der Computer mit dem Internet verbunden ist, flutet der Virus www.riaa.com (oder riaa.com) in 33% der Fälle oder www.microsoft.com (oder microsoft.com) in 67% der Fälle.
Der Virus sammelt aus den User Dateien Emailadressen und verschickt sich über eine eigene SMTP Funktion.
FolgendeDateien werden wahrscheinlich gelöscht: *.mdb* (98% Chance), *.doc* (40%), *.xls* (60%), *.sav* (95%), *.jpg* (89%), *.avi* (10%), *.bmp* (15%).
In 40% der Fälle, oder wenn der Pfadname eines Ordners "shar" oder "startup" oder (bei 20%)"start" enthält, schafft der Virus eine gezippte (75% Chance) oder einfache (25% Chance) Kopie seiner selbst in dem Ordner; der Name der Kopie enthält 4 bis 13 zufällige Buchstaben und die ".zip" oder ".exe" Endung.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.MyDoom.F@mm Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
