Seit gestern ist eine Mutation des W.32.Mydooms unterwegs, die ein Update des AV-Programmes nach Infizierung des Systems verhindert und daher
besonders schwer loszuwerden ist.

(ACHTUNG UMFANGREICH)
Name:
W.32.Mydoom.B
Alias:
W32/Mydoom.b@MM, I-Worm.Mydoom.b
In Umlauf seit:
28.01.2004
Verbreitung:
eMail
Betroffene Betriebssysteme:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Betreff:
Verschieden, z.B.:
"Mail Transaction Failed"
"Unable to deliver the message"
"Status"
"Delivery Error"
"Mail Delivery System"
"hello"
"Error"
"Server Report"
"Returned mail"

Absender:
Verschieden: z.B.:

"variabel@aol.com"
"variabel@msn.com"
"variabel@yahoo.com"
"variabel@hotmail.com"

"variabel" können dabei folgende Namen sein:

john,alex,michael,james,mike,kevin,david,george,sam, uvm.

Text der Nachricht:

Entweder eine zufällige Reihenfolge aus Zahlen und Buchstaben oder
eines der folgenden Beispiele:

"The message cannot be represented in 7-bit ASCII encoding and has been sent
as a binary attachment."

"sendmail daemon reported:

Error #804 occured during SMTP session. Partial message has been received."

"The message contains Unicode characters and has been sent as a binary
attachment."

"The message contains MIME-encoded graphics and has been sent as a binary
attachment."

"Mail transaction failed. Partial message is available."

Anhang:

Unterschiedlich: Setzt sich aus diesen Namen

und folgenden Endungen zusammen: pif, .cmd, .bat, .scr, .exe oder .zip

ANMERKUNG:

Wird der I-Worm.Mydoom.B durch Doppelklick aktiviert kopiert er sich

1. In das Windows/system-Verzeichnis mit dem Namen "ctfmon.dll"
2. Notepad wird gestartet und wirre Zeichen und Zahlen.
3. Als Datei "explorer.exe" in das Windows/System(32)-Verzeichnis.

Die Datei "ctfmon.dll" ist ein Proxyserver und öffnet den Port 10080 wodurch
ein Dritter zugriff auf den Rechner erhält. Die integrierte Backdoorfunktion
ermöglicht auch den Download und die Installation von weiteren Dateien.

Dieser Proxyserver wird auch in der Registry eingetragen:

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"Apartment" = "%SysDir%\ctfmon.dll"

Der Proxyserver (ctfmon.dll) wird durch den Explorer (explorer.exe)
gestartet mit dem Registrykey:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer
%systemverzeichnis%\explorer.exe

Da sich I-Worm.Mydoom.B hauptsächlich per eMail (Eigene SMTP-Engine)
verbreitet, wird der infizierte Rechner nach eMailadressen in den Dateien
.htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab und .txt durchsucht an
welche er sich versendet.

I-Worm.Mydoom.B versendet sich nicht an Domains die Teile beinhalten wie:

abuse
accoun
certific
listserv
ntivi
icrosoft
admin
page

u.v.m.

Sollte auf dem infizierten Rechner das Filesharingprogramm KaZaA installiert
sein, so kopiert sich der Wurm in das Upload-Verzeichnis mit einem der
folgenden Namen:

NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final

Und der Dateiendung

pif
scr
bat
exe

Also Erweiterung gegenüber der Vorgängerversion I-Worm.Mydoom ersetzt die
B.Variante die Datei "hosts" im Windowsverzeichnis und verhindert dadurch
den Zugriff auf folgende Domains:

ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com...
u.v.m.

Mit einem Wort BÖSE!

HIER DIE ÜBERSICHT:

Name:
W32/Mydoom@mm
Alias:
W32.Novarg.A@mm, Win32/Shimg, I-Worm.Novarg, Worm/MyDoom.A2, WORM_MIMAIL.R
In Umlauf seit:
06.01.2004
Verbreitung:
E-Mail, KaZAa
Absenderangabe:
verschieden, gefälscht
Betreff/Subject:
verschieden, z.B.: "Hi", "Test", "aeii", "Status", "SERVER REPORT", ...
Nachricht:
verschieden, verschieden, z.B.:
"The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment."
oder:
"Mail transaction failed. Partial message is available."
oder auch völlig kryptischer Buchstabensalat
Anhang:
readme.zip|bat|cmd|exe|pif|scr, document.exe|scr, doc.zip, test.zip, u.a. (~22 KB)
Symptome:
Existenz u.a. der Datei shimgapi.dll (4 KB) im Windows-System-Verzeichnis
sowie des Registry-Eintrags "TaskMon = %SysDir%\taskmon.exe" im Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Schaden: E-Mail-Versand; Backdoor: Port 3127
Betroffene Betriebssysteme:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Annmerkung:

Dieser Virus zeigt das Attachment als folgendes Icon an um ein Text-Dokument vorzutäuschen:

Info und Hilfe finden Sie auf folgenden Seiten:

http://www.tu-berlin.de/www/software/virus/aktuell.shtml
http://www.antivir.de/vireninfo/mydoom.htm
http://vil.nai.com/vil/content/v_100983.htm
http://www.sophos.com/virusinfo/analyses/w32mydooma.html
http://www.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html

Leider gar nicht putzig:

Hier die Kurzzusammenfassung:

Name:
W32/Beagle.A@mm
Alias:
I-Worm.Bagle [Kaspersky], WORM_BAGLE.A [Trend]
In Umlauf seit:
18.01.2004
Betroffene Betriebssysteme:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Verbreitung:
E-Mail
Absenderangabe:
Der Virus fälsch die Absenderadresse in dem er eMailadresse in Dateien auf C: sucht, damit
das eMail so aussieht, als käme sie von einer bekannten Person.
Betreff/Subject:
"Hi"
Nachricht:

"Test =)
[zufällige Zeichen]
--
Test, yep. "

Anhang:

randomname.exe 16 Kbytes

Die angehängte Datei hat das Symbol des bekannten Windows-Taschenrechners.
Der Wurm ruft den Taschenrechner absichtlich als Tarnung auf.

Symptome:
W32/Bagle-A kopiert sich in bbeagle.exe im Windows-Systemordner und erstellt den folgenden Registrierungseintrag,
damit der Wurm bei der Anmeldung gestartet wird:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe
Der Wurm erstellt außerdem die folgenden Registrierungseinträge:

HKCU\Software\Windows98\uid
HKCU\Software\Windows98\frun
W32/Bagle-A verfügt über eine Backdoor-Komponente, die am TCP Port 6777 wartet. Dadurch kann ein Angreifer beliebig Programme auf dem infizieren Computer ausführen.

Zu beachten ist, dass sich W32/Bagle-A nicht aktiviert, wenn das Systemdatum der 28. Januar 2004 oder später ist.

Schaden: E-Mail-Versand

Gegenmittel:

Es sind diesbezüglich im Augenblick keine Removaltools erhältlich. Allerdings
läßt der Virus sich durch ein aktualisiertes Antivirusprogramm entfernen!

Info:

http://www.symantec.com/avcenter/venc/data/w32.beagle.a@mm.html
http://www.sophos.de/virusinfo/analyses/w32baglea.html
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=43789
http://www.norman.com/virus_info/w32_bagle_a_mm.shtml?menulang=de