News 27.07.2004, 10:15 Uhr

W32/Mydoom.M (bzw. Mydoom.o)

Diese Variante des Mydoom-Wurms verursachte am 26. Juli 2004 eine Art Outbreak: Die Antivirushersteller haben ihn innert kürzester Zeit als mittlere Gefahrenstufe klassiert.
Wie üblich, verschickt sich auch die M-Variante des Mydoom-Wurms mit gefälschter Absenderadresse. Beim PCtipp schlug beispielsweise ein Exemplar auf, das angeblich von einem unserer Computerworld-Kollegen verschickt wurde; wohlbemerkt, von einem Mac-Benutzer, der sich den Wurm gar nicht zuziehen konnte! Siehe Bild:
Betreff: STATUS
Beilage: message.zip
Text:
"Dear user (Mail-Adresse des Empfängers),
We have detected that your account has been used to send a huge amount of spam messages during the last week.
Obviously, your computer had been compromised and now runs a trojan proxy server.
We recommend that you follow our instruction in order to keep your computer safe.
Best regards,
The (Domain des Empfängers) support team."
Ein zweites Exemplar desselben Wurms tarnte sich als Unzustellbarkeitsmeldung, die angeblich unser eigener Mailserver verschickt haben soll:
Beilage: mail.zip
Betreff: (war leer)
Text:
"Your message was not delivered due to the following reason:
Your message was not delivered because the destination computer was
unreachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.
Your message could not be delivered within 1 days:
Mail server 121.190.107.203 is not responding.
The following recipients could not receive this message:
<redaktion@pctipp.ch>
Please reply to postmaster@pctipp.ch
if you feel this message to be in error."
Weitere mögliche Betreffzeilen und Mailtexte, die dieser Wurm bei seiner Verbreitung verwendet, finden Sie beispielsweise in der Beschreibung von McAfee [1].
Natürlich enthält die angehängte Datei weder das versprochene Tool zur Beseitigung eines Trojaners noch die Kopie einer unzustellbaren Mail. Wird der Wurm von einem unvorsichtigen Benutzer entzippt und gestartet, installiert er sich wie folgt im System:
Im Windows-Ordner (C:\Winnt oder C:\Windows) legt er diese Dateien ab: java.exe und services.exe. Danach trägt er diese beiden Dateien in einen oder in beide dieser Windows-Registry-Zweige ein:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Die Einträge heissen:
"Services" = "%Windir%\services.exe" und
"JavaVM" = "%Windir%\java.exe"
Auf diese Weise sorgt der Wurm dafür, dass er bei jedem Windows-Start geladen wird.
Der Wurm erstellt zusätzlich noch diese Registry-Einträge:
HKEY_CURRENT_USER\Software\Microsoft\Daemon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon
Zudem speichert er in manchen Fällen im Windows-Temp-Ordner noch solche Dateien:
zincite.log und (zufällige Zeichenfolge).log
Nun sucht der Mydoom.M-Wurm nach Ordnern, welche im Namen entweder die Zeichenfolge "USERPROFILE" oder die Zeichenfolge "yahoo.com" tragen. In diese kopiert er sich hinein.
Um sich weiterzuverbreiten, durchsucht er die Festplatte des infizierten PCs und verschickt sich mit den eingangs erwähnten Eigenschaften an alle Mail-Adressen, die er dort drin findet.
Der Schadensteil:
Der Wurm öffnet in der Netzwerkverbindung einen Port. Je nach Wurm-Variante ist dies Port-Nummer 1034 oder 2110. Über diesen könnte ein Angreifer später weitere unerwünschte Software in den PC einschleusen oder ihn für kriminelle Aktivitäten missbrauchten (z.B. DoS-Attacken, Spam usw.).
Beseitigung:
In der oben erwähnten Mydoom-Beschreibung von McAfee ist das Stinger-Tool verlinkt. Mit diesem sollte sich der Wurm aus dem System entfernen lassen.
Bei F-Secure [2], Kaspersky [3] und Symantec [4] ist der Wurm als Mydoom.M bekannt, bei McAfee und Sophos [5] hat er den Variantenbuchstaben O bekommen. Es könnte sich auch um mehrere Wurmvarianten handeln, die sich voneinander nur minimal unterscheiden.



Kommentare
Es sind keine Kommentare vorhanden.