Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Mydoom.AS.1
Entdeckt am:27/04/2005
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigre:86.637 Bytes
MD5 Prfsumme:06ad8f6017e0d638481d877af8881e4f
VDF Version:6.30.00.141 - Mittwoch, 27. April 2005
IVDF Version:6.30.00.141 - Mittwoch, 27. April 2005

 General Verbreitungsmethoden:
   • Email
   • Peer to Peer


Aliases:
   •  Mcafee: W32/Mydoom.bn@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.as
   •  TrendMicro: WORM_MYDOOM.AQ
   •  F-Secure: Email-Worm.Win32.Mydoom.as
   •  Sophos: W32/MyDoom-BN
   •  Panda: W32/Mydoom.BJ.worm
   •  Grisoft: I-Worm/Mydoom
   •  VirusBuster: I-Worm.Mydoom.BJ
   •  Eset: Win32/Mydoom.BC
   •  Bitdefender: Win32.Worm.Mydoom.BJ


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Verfgt ber eigene Email Engine
   • nderung an der Registry


Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:


 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\taskmon.exe

 Registry Die folgenden Registryschlssel werden hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TaskMon="%SYSDIR%\taskmon.exe"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TaskMon="%SYSDIR%\taskmon.exe"

 Email Die Malware verfgt ber eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgefhrt:


Von:
Die Absenderadresse wurde geflscht.
Generierte Adressen. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist mglich, dass er nichts ber seine Infektion wei oder sogar nicht infiziert ist. Des Weiteren ist es mglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was mglicherweise auch nicht stimmt.


An:
– Email Adressen welche in ausgewhlten Dateien auf dem System gefunden wurden.
 Gesammelte Email Adressen aus WAB (Windows Addressbuch)
– Generierte Adressen


Betreff:
Eine der folgenden:
   • Oi a quanto tempo... =)
   • Eu nao ti vejo a muito tempo.
   • Duvido voce me reconher =)
   • Voce me reconhece??
   • Saudades de voce!!!
   • lembra de mim??
   • estou longe!!
   • Eu te amo



Body:
Der Body der Email ist folgender:
   • Ola, a quanto tempo! Eu me mudei dai para os Estados Unidos, e faz um tempo que perdemos o contato e consegui seu email atraves de uma amiga sua. Vamos fazer assim, eu vou lhe mandar meu album de fotos se voce me reconhecer, me retorna o email. Quero ver se voce ainda lembra de mim. :)


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • album
   • fotografia
   • fotos
   • album_de_foto
   • minhas_fotos

    Die Dateierweiterung ist eine der folgenden:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

Der Dateianhang ist eine Kopie der Malware.



Die Email sieht wie folgt aus:


 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • tmp


Erzeugen von Adressen fr den Absender und Empfnger:
Um Adressen zu generieren werden folgende Zeichenketten verwendet:
   • joao; alex; michel; michele; james; marcos; felipe; davi; george;
      samuel; andre; andreia; jose; leonardo; maria; georgia; bernardo;
      sergio; joana; luis; raimundo; tom; patricia; roberto; roberta;
      tercio; fernando; daniela; diego; steve; fernanda; luisa; adriana;
      bruno; david; samanta; fred; rafael; luiza; afonso; breno; alice; ana;
      brenda; claudia; marcela; debora; helen; helena; simone; lucas;
      juliana; adriano; sandra; sandro; barbara; bruna; rafaela



Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • -._!@; -._!; avp; syma; icrosof; msn.; panda; sopho; borlan; inpris;
      example; mydomai; nodomai; ruslis; berkeley; unix; math; bsd; mit.e;
      gnu; fsf.; ibm.com; google; kernel; linux; fido; usenet; iana; ietf;
      rfc-ed; sendmail; arin.; ripe.; isi.e; isc.o; secur; acketst; pgp;
      tanford.e; utgers.ed; mozilla; be_loyal:; root; info; samples;
      postmaster; webmaster; noone; nobody; nothing; anyone; someone; your;
      you; me; bugs; rating; site; contact; soft; no; somebody; privacy;
      service; help; not; submit; feste; ca; gold-certs; the.bat; page;
      abuse; admin; lista; icrosoft; support; ntivi; listserv; certific;
      accoun; spm; fcnz; www


Anfgen von MX Zeichenketten:
Um die IP Adresse des Emailservers zu bekommen werden folgende Zeichenketten dem Domain Namen vorgesetzt:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:   Um das Standard-Download-Verzeichnis in Erfahrung zu bringen wird folgender Registry Eintrag ausgelesen:
   • Software\Kazaa\Transfer

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • activation_crack.exe; icq2004-final.exe; nuke2004.exe;
      office_crack.exe; rootkitXP.exe; strip-girl-2.0bdcom_patches.exe;
      winamp5.exe; activation_crack.bat; icq2004-final.bat; nuke2004.bat;
      office_crack.bat; rootkitXP.bat; strip-girl-2.0bdcom_patches.bat;
      winamp5.bat; activation_crack.pif; icq2004-final.pif; nuke2004.pif;
      office_crack.pif; rootkitXP.pif; strip-girl-2.0bdcom_patches.pif;
      winamp5.pif; activation_crack.scr; icq2004-final.scr; nuke2004.scr;
      office_crack.scr; rootkitXP.scr; strip-girl-2.0bdcom_patches.scr;
      winamp5.scr; ;

   Diese Dateien sind Kopien der eigenen Malware Datei

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • SwebSipcSmtxS0

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Donnerstag, 4. Oktober 2007
Die Beschreibung wurde geändert von Ana Maria Niculescu am Dienstag, 9. Oktober 2007

zurück . . . .