Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Mydoom.BH.1
Entdeckt am:31/08/2007
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:131.072 Bytes
MD5 Prüfsumme:1aec7aebd916c3862131af0F7fe46da2
VDF Version:6.39.01.017
IVDF Version:6.39.01.018

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Mcafee: W32/Mydoom.gen@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.bh
   •  F-Secure: Email-Worm.Win32.Mydoom.bh
   •  Sophos: W32/MyDoom-BX
   •  Panda: W32/Mydoom.DL.worm
   •  Grisoft: I-Worm/Generic.BXO
   •  Eset: Win32/Mydoom.NA
   •  Bitdefender: Generic.Mydoom.4C96A5D8


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\dvupdate.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %TEMPDIR%\tmp%Hexadezimale Zahl%.tmp

%TEMPDIR%\%zufällige Buchstabenkombination%.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Driver Update="%SYSDIR%\dvupdate.exe"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Eine der folgenden:
   • A friendly warning
   • Greetings. Please read on.
   • Hello there! Read on.
   • Hey, just warning you
   • HEY, THIS IS KINDA URGENT
   • Some important information
   • You might want to read this...
   • You need to protect yourself

Manchmal kann die Betreffzeile auch leer sein.
Des Weiteren kann die Betreffzeile zufällige Zeichen enthalten.


Body:
–  Er wird unter Zuhilfenahme einer "regular expresseion" konstruiert.
–  Kann unter Umständen leer sein.
–  Kann unter Umständen zufällige Daten beinhalten.

 
Der Body der Email ist einer der folgenden:

   • I don't know if you have heard yet or not but there's a deadly computer virus going around lately...
     I got caught by it the other day and lost all my files.
     Luckily Microsoft just released a fix which will protect you from it.
     I've attached the fix to this email, so you'll be fine if you install it
     Please open the attached file. It contains very important information concerning you.

   • Please open the attached file. It contains very important information concerning you.

   • I found a file that has a lot of information about YOU in it, I thought you might want to know about it.
     It's attached to this email, so open it if you're interested.

   • Hey, I assume you've heard about that new computer virus?
     A friend of mine got hit by it the other day and lost EVERY file on his compuiter.
     I attached a fix for it to this email, so you should be fine if you install it.
     Good luck!


Dateianhang:
Der Dateiname des Anhangs wird aus folgenden zusammengesetzt:

–  Es beginnt mit einer der folgenden:
   • ReadMe_TXT
   • ReadThisNow_TXT
   • UrgentInfo
   • MSWinFix
   • MSHotFix_Latest
   • Latest_Patch
   • Info_Doc
   • ImportantInfo
   • %zufällige Buchstabenkombination%

    Die Dateierweiterung ist eine der folgenden:
   • .exe
   • .zip

Der Dateianhang ist eine Kopie der Malware.

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.



Die Email sieht wie folgt aus:


 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • tmp


Erzeugen von Adressen für den Empfänger:
Um Adressen zu generieren werden folgende Zeichenketten verwendet:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john; accoun; certific; listserv; ntivi;
      support; icrosoft; admin; page; the.bat; gold-certs; ca; feste;
      submit; not; help; service; privacy; somebody; no; soft; contact;
      site; rating; bugs; me; you; your; someone; anyone; nothing; nobody;
      noone; webmaster; postmaster; samples; info; root

Es wird die gleiche Liste der Domainnamen verwendet wie schon zuvor erwähnt.

Der Domain Name ist einer der folgenden:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example; inpris;
      borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp; -._!@; -._!;
      spm; fcnz; www; abuse; .edu


MX Server:
Es verwendet nicht den Standard MX Server.
Es besitzt die Fähigkeit folgende MX Server zu kontaktieren:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall werden die bestehenden Einträge gelöscht.

– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.kaspersky.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; pandasoftware.com; www.pandasoftware.com;
      www.trendmicro.com; www.grisoft.com; www.microsoft.com; microsoft.com;
      update.microsoft.com; www.virustotal.com; virustotal.com;
      www.ahnlab.com; suc.ahnlab.com; auth.ahnlab.com; ahnlab.com




Die modifizierte Host Datei sieht wie folgt aus:


 Hintertür Kontaktiert Server:
Den folgenden:
   • io.phatnet.**********:7001

Hierdurch werden Hintertürfunktionen bereitgestellt.

Sende Informationen über:
    • Arbeitszeit der Malware


Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Datei ausführen
    • Prozess abbrechen
    • Datei verschieben

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • doom1

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Monica Ghitun am Mittwoch, 3. Oktober 2007
Die Beschreibung wurde geändert von Monica Ghitun am Donnerstag, 4. Oktober 2007

zurück . . . .