Worm/Mydoom.L.2 - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Mydoom.L.2
Entdeckt am:	19/07/2004
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel bis hoch
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	78.756 Bytes
MD5 Prüfsumme:	a3026f698ac9b0c575f7ac39f1082e01
VDF Version:	6.26.00.35 - Mon, 19 Jul 2004 19:06 (GMT+1)

General Verbreitungsmethoden:
   • Email
   • Peer to Peer

Aliases:
   • Symantec: W32.Mydoom.L@mm
   • Mcafee: W32/Mydoom.n@MM
   • Kaspersky: Email-Worm.Win32.Mydoom.m
   • TrendMicro: WORM_MYDOOM.L
   • Sophos: W32/MyDoom-N
   • Grisoft: I-Worm/Mydoom.N
   • VirusBuster: I-Worm.Mydoom.Q
   • Eset: Win32/Mydoom.Q
   • Bitdefender: Win32.Mydoom.L@mm

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\lsass.exe

Es wird folgende Datei erstellt:

– Eine Datei welche gesammelte Email Adressen enthält:
• %TEMPDIR%\%zufällige Buchstabenkombination%.txt

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• "Traybar" = "%WINDIR%\lsass.exe"

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.
Generierte Adressen. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist möglich, dass er nichts über seine Infektion weiß oder sogar nicht infiziert ist. Des Weiteren ist es möglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was möglicherweise auch nicht stimmt.

An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)

Betreff:
Eine der folgenden:
   • say helo to my litl friend
   • click me baby, one more time
   • hello
   • hi
   • error
   • status
   • test
   • report
   • delivery failed
   • Message could not be delivered
   • Mail System Error - Returned Mail
   • Delivery reports about your e-mail
   • Returned mail: see transcript for details
   • Returned mail: Data format error

Des Weiteren kann die Betreffzeile zufällige Zeichen enthalten.

Body:
Der Body der Email ist einer der folgenden:

   • The original message was included as attachment

   • This Message was undeliverable due to the following reason:

     Your message was not delivered because the destination computer was
     not reachable within the allowed queue period. The amount of time
     a message is queued before it is returned depends on local configura-
     tion parameters.

     Most likely there is a network problem that prevented delivery, but
     it is also possible that the computer is turned off, or does not
     have a mail system running right now.

     Your message was not delivered within %mehrere zufällige Zahlen von 0 - 9% days:
     Host %zufällige IP Adresse% is not responding.

     The following recipients did not receive this message:
     %Emailadresse des Empfängers%

     Please reply to postmaster@%Domäne des Absenders%
     if you feel this message to be in error.

   • The original message was received at Tue, %aktuelles Datum% %aktuelle Stunde%
     from %Domäne des Empfängers% [%zufällige IP Adresse%]

     ----- The following addresses had permanent fatal errors -----
     %Emailadresse des Empfängers%

     ----- Transcript of session follows -----
      while talking to %Domäne des Empfängers%.:
     >>> MAIL From:%Emailadresse des Absenders%
     <<< 501 %Emailadresse des Absenders%... Refused

   • The original message was received at Tue, %aktuelles Datum% %aktuelle Stunde%
     from %Domäne des Empfängers% [%zufällige IP Adresse%]

     ----- The following addresses had permanent fatal errors -----
     %Emailadresse des Empfängers%

Dateianhang:
Die Dateinamen der Anhänge wird aus folgenden zusammengesetzt:

– Es beginnt mit einer der folgenden:
   • readme
   • transcript
   • mail
   • letter
   • file
   • text
   • attachment
   • document
   • message

    Die Dateierweiterung ist eine der folgenden:
   • bat
   • cmd
   • com
   • exe
   • pif
   • scr
   • zip

Der Dateianhang ist eine Kopie der Malware.

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

Die Email sieht wie folgt aus:

Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • doc
   • txt
   • htm
   • html

Erzeugen von Adressen für den Absender:
Um Adressen zu generieren werden folgende Zeichenketten verwendet:
   • Postmaster
   • Mail Administrator
   • Automatic Email Delivery Software
   • Post Office
   • The Post Office
   • Bounced mail
   • Returned mail
   • MAILER-DAEMON
   • Mail Delivery Subsystem

Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • .gov; .mil; abus; accoun; admi; anyone; arin.; avp; bar.; bug;
      contact; crosoft; domain; example; feste; foo.; gmail; gnu.;
      gold-certs; google; gov.; help; hotmail; info; labs; listserv; master;
      math; microsoft; msn.; nobody; noone; not; nothing; ntivi; ophos;
      page; panda; privacycertific; rarsoft; rating; ripe.; root; sample;
      sarc.; seclist; secur; service; sf.net; site; soft; someone;
      sourceforge; spam; spersk; spm; submit; suppor; syma; the.bat; update;
      uslis; winzip; you; your

Anfügen von MX Zeichenketten:
Um die IP Adresse des Emailservers zu bekommen werden folgende Zeichenketten dem Domain Namen vorgesetzt:
   • mx.
   • mail.
   • smtp.

P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:

–   Es wird nach Verzeichnissen gesucht welche einer der folgenden Zeichenketten enthalten:
   • incoming
   • ftproot
   • download
   • shar

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • Kazaa Lite
   • Harry Potter
   • ICQ 4 Lite
   • WinRAR.v.3.2.and.key
   • Winamp 5.0 (en) Crack
   • Winamp 5.0 (en)

   Diese Dateien sind Kopien der eigenen Malware Datei

Prozess Beendigung Prozesse mit einem der folgenden Fenster-Classen-Namen werden beendet:
   • IEFrame
   • ATH_Note
   • rctrl_renwnd32

Hintertür Der folgende Port wird geöffnet:

– %Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei% am TCP Port 1042 um Backdoor Funktion zur Verfügung zu stellen.

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Kurzfassung hier.

Beschreibung erstellt von Irina Boldea am Tue, 28 Feb 2006 09:25 (GMT+1)
Beschreibung geändert von Robert Harja Iliescu am Tue, 05 Sep 2006 15:09 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück