Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Mydoom.M.unp
Entdeckt am:26/07/2004
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:41.408 Bytes
MD5 Prüfsumme:6e821a45f567011c1aa88822efc14193
VDF Version:6.26.00.44

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: W32.Mydoom.AZ@mm
   •  Mcafee: W32/Mydoom.o@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.am
   •  TrendMicro: WORM_MYDOOM.M
   •  Sophos: W32/MyDoom-BC
   •  Grisoft: I-Worm/Mydoom
   •  VirusBuster: I-Worm.Mydoom.AJ1
   •  Eset: Win32/Mydoom.AX
   •  Bitdefender: Win32.Mydoom.AQ@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\java.exe



Es wird folgende Datei erstellt:

%WINDIR%\services.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Tr/Mydoom.BB.1




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • www.imogenheap.co.uk/iblog/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "JavaVM"="%WINDIR%\java.exe"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.
Generierte Adressen. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist möglich, dass er nichts über seine Infektion weiß oder sogar nicht infiziert ist. Des Weiteren ist es möglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was möglicherweise auch nicht stimmt.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)
– Gesammelte Adressen durch Kontaktieren von Suchmaschienen


Betreff:
Eine der folgenden:
   • hello
   • error
   • status
   • test
   • report
   • delivery failed
   • Message could not be delivered
   • Mail System Error - Returned Mail
   • Delivery reports about your e-mail
   • Returned mail: see transcript for details
   • Returned mail: Data format error

Des Weiteren kann die Betreffzeile zufällige Zeichen enthalten.


Body:
–  Er wird unter Zuhilfenahme einer "regular expresseion" konstruiert.
–  Kann unter Umständen leer sein.
–  Kann unter Umständen zufällige Daten beinhalten.

 
Der Body der Email ist einer der folgenden:

   • Dear user {%Emailadresse des Empfängers% |of %Domäne des Empfängers% },{ {{M|m}ail {system|server} administrator|administration} of %Domäne des Empfängers% would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
     
     {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
     {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
     {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
     
     {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
     
     {%Domäne des Empfängers% {user |technical |}support team.|The %Domäne des Empfängers% {support |}team.}

   • {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
     
     Your message {was not|could not be} delivered because the destination {computer|server} was {not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters.
     Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
     
     Your message {was not|could not be} delivered within %Nummer% days:
     {{{Mail s|S}erver}|Host} %zufällige IP Adresse% is not responding.
     
     The following recipients {did|could} not receive this message
     %Emailadresse des Absenders%
     
     Please reply to postmaster@{%Domäne des Absenders% |%Domäne des Empfängers%} if you feel this message to be in error

   • The original message was received at %aktuelles Datum%{| }from {%Domäne des Absenders% [%zufällige IP Adresse%]}
     
     ----- The following addresses had permanent fatal errors -----
     
     {<%Domäne des Empfängers%>|%Domäne des Empfängers%}
     
     {----- Transcript of {the ||}session follows -----
     
     ... while talking to {host |{mail |}server ||||}{%Domäne des Empfängers%.|%zufällige IP Adresse%}:
     
     {>>> MAIL F{rom|ROM}:%Domäne des Absenders%
     
     <<< 50%Nummer% {%Domäne des Absenders% ... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <%Domäne des Empfängers%>... {Mail quota exceeded|Message is too large}
     
     554 <%Domäne des Empfängers%>... Service unavailable|550 5.1.2 <%Domäne des Empfängers%>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; [%zufällige IP Adresse%] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
     
     Session aborted{, reason: lost connection|}|>>> RCPT To:<%Domäne des Empfängers%>
     
     <<< 550 {MAILBOX NOT FOUND|5.1.1 <%Domäne des Empfängers%>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
     
     {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output|}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed|}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded|}<<< 400}|}

   • The original message was included as attachment
     

   • {{The|Your} m|M}essage could not be delivered


Dateianhang:
Der Dateiname des Anhangs wird aus folgenden zusammengesetzt:

–  Es beginnt mit einer der folgenden:
   • readme
   • instruction
   • transcript
   • mail
   • letter
   • file
   • text
   • attachment
   • document
   • message
   • %zufällige Buchstabenkombination%

    Die Dateierweiterung ist eine der folgenden:
   • cmd
   • bat
   • com
   • exe
   • pif
   • scr
   • zip

Der Dateianhang ist eine Kopie der Malware.

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.



Die Email sieht wie folgt aus:


 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • doc
   • txt
   • htm
   • html


Erzeugen von Adressen für den Absender:
Um Adressen zu generieren werden folgende Zeichenketten verwendet:
   • Postmaster
   • Mail Administrator
   • Automatic Email Delivery Software
   • Post Office
   • The Post Office
   • Bounced mail
   • Returned mail
   • MAILER-DAEMON
   • Mail Delivery Subsystem



Suchmaschine:
Um an weitere Emailadressen zu kommen, werden folgende Suchmaschinen kontaktiert:
   • http://search.lycos.com/
   • http://www.altavista.com/
   • http://search.yahoo.com/
   • http://www.google.com/



Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • mailer-d; spam; abuse; master; sample; accoun; privacycertific; bugs;
      listserv; submit; ntivi; support; admin; page; the.bat; gold-certs;
      feste; not; help; foo; soft; site; rating; you; your; someone; anyone;
      nothing; nobody; noone; info; winrar; winzip; rarsoft; sf.net;
      sourceforge; ripe.; arin.; google; gnu.; gmail; seclist; secur; bar.;
      foo.com; trend; update; uslis; domain; example; sophos; yahoo; spersk;
      panda; hotmail; msn.; msdn.; microsoft; sarc.; syma; avp


Anfügen von MX Zeichenketten:
Um die IP Adresse des Emailservers zu bekommen werden folgende Zeichenketten dem Domain Namen vorgesetzt:
   • mx.
   • mail.
   • smtp.

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • %computername%root%computername%rootx%computername%root%computername%rootxx

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Irina Boldea am Donnerstag, 18. Mai 2006
Die Beschreibung wurde geändert von Irina Boldea am Montag, 22. Mai 2006

zurück . . . .