Seit gestern ist eine Mutation des W.32.Mydooms unterwegs, die ein Update des AV-Programmes nach Infizierung des Systems verhindert und daher
besonders schwer loszuwerden ist.

(ACHTUNG UMFANGREICH)
Name:
W.32.Mydoom.B
Alias:
W32/Mydoom.b@MM, I-Worm.Mydoom.b
In Umlauf seit:
28.01.2004
Verbreitung:
eMail
Betroffene Betriebssysteme:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Betreff:
Verschieden, z.B.:
"Mail Transaction Failed"
"Unable to deliver the message"
"Status"
"Delivery Error"
"Mail Delivery System"
"hello"
"Error"
"Server Report"
"Returned mail"

Absender:
Verschieden: z.B.:

"variabel@aol.com"
"variabel@msn.com"
"variabel@yahoo.com"
"variabel@hotmail.com"

"variabel" können dabei folgende Namen sein:

john,alex,michael,james,mike,kevin,david,george,sam, uvm.

Text der Nachricht:

Entweder eine zufällige Reihenfolge aus Zahlen und Buchstaben oder
eines der folgenden Beispiele:

"The message cannot be represented in 7-bit ASCII encoding and has been sent
as a binary attachment."

"sendmail daemon reported:

Error #804 occured during SMTP session. Partial message has been received."

"The message contains Unicode characters and has been sent as a binary
attachment."

"The message contains MIME-encoded graphics and has been sent as a binary
attachment."

"Mail transaction failed. Partial message is available."

Anhang:

Unterschiedlich: Setzt sich aus diesen Namen

und folgenden Endungen zusammen: pif, .cmd, .bat, .scr, .exe oder .zip

ANMERKUNG:

Wird der I-Worm.Mydoom.B durch Doppelklick aktiviert kopiert er sich

1. In das Windows/system-Verzeichnis mit dem Namen "ctfmon.dll"
2. Notepad wird gestartet und wirre Zeichen und Zahlen.
3. Als Datei "explorer.exe" in das Windows/System(32)-Verzeichnis.

Die Datei "ctfmon.dll" ist ein Proxyserver und öffnet den Port 10080 wodurch
ein Dritter zugriff auf den Rechner erhält. Die integrierte Backdoorfunktion
ermöglicht auch den Download und die Installation von weiteren Dateien.

Dieser Proxyserver wird auch in der Registry eingetragen:

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"Apartment" = "%SysDir%\ctfmon.dll"

Der Proxyserver (ctfmon.dll) wird durch den Explorer (explorer.exe)
gestartet mit dem Registrykey:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer
%systemverzeichnis%\explorer.exe

Da sich I-Worm.Mydoom.B hauptsächlich per eMail (Eigene SMTP-Engine)
verbreitet, wird der infizierte Rechner nach eMailadressen in den Dateien
.htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab und .txt durchsucht an
welche er sich versendet.

I-Worm.Mydoom.B versendet sich nicht an Domains die Teile beinhalten wie:

abuse
accoun
certific
listserv
ntivi
icrosoft
admin
page

u.v.m.

Sollte auf dem infizierten Rechner das Filesharingprogramm KaZaA installiert
sein, so kopiert sich der Wurm in das Upload-Verzeichnis mit einem der
folgenden Namen:

NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final

Und der Dateiendung

pif
scr
bat
exe

Also Erweiterung gegenüber der Vorgängerversion I-Worm.Mydoom ersetzt die
B.Variante die Datei "hosts" im Windowsverzeichnis und verhindert dadurch
den Zugriff auf folgende Domains:

ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com...
u.v.m.

Mit einem Wort BÖSE!