W32/Mydoom (alias Shimgapi, Novarg, Mimail.R)

Die Mails von W32/Mydoom haben diese Kennzeichen:

Absender: Beliebig, da gefälscht

Betreff: Beliebig, oft als Unzustellbarkeits-Mail getarnt

Mailtext:

Der Mailtext gibt meist vor, der Empfänger habe eine Mail verschickt, die nicht ankam. Darin können folgende Sätze vorkommen, meist in Begleitung von ein paar gefälschten Mail-Kopfzeilen (Header):

Zum Beispiel:

"The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment."

"The message contains Unicode characters and has been sent as a binary attachment."

"Mail transaction failed. Partial message is available."

"This is an automatically generated Delivery Status Notification."

"Delivery to the following recipients failed."

Zwar kommen Sätze wie die obigen auch in echten Bounce-Mails (Unzustellbarkeits-Meldungen) vor, wie Sie sie etwa erhalten könnten, wenn Sie sich bei einer Adresse vertippt haben. Aber echte Bounce-Mails enthalten keine ausführbare Beilage.

Gemäss NAI (McAfee), die noch am späten Abend des 26. Januars einen "High-Outbreak" dieses Wurms meldeten [1], ist die Beilage dieser Wurm-Mail eine ausführbare Datei mit einer Endung wie .BAT, .CMD, .EXE, .PIF oder .SCR.

Diese Beilage trifft sehr oft auch innerhalb einer ZIP-Datei ein, z.B. mit dem Namen document.zip. Vermutlich wollte der Virenschreiber dadurch verhindern, dass sein übles Werk bereits durch Sicherheitseinstellungen von Mailprogrammen (z.B. Outlook) blockiert wird.

Wird die Beilage vom Benutzer entzippt oder kommt sie ungezippt daher, ähnelt das Symbol der Wurm-Datei jenem einer harmlosen Textdatei. Einen kleinen Screenshot davon sehen Sie in der Wurmbeschreibung von NAI.

Wenn der Benutzer in die Falle tappt und die Datei ausführt, geschieht folgendes:

Eine "Message"-Datei wird im Temp-Ordner erstellt und sofort im Notepad-Editor angezeigt. Der Text besteht aus zufälligem Zeichensalat.

Dann kopiert sich der Wurm hier hin:

C:\Programme\KaZaA\My Shared Folder\

Und zwar mit Dateinamen wie: winamp5, icq2004-final, activation_crack, strip-girl-2.0bdcom_patches, rootkitXP, office_crack, nuke2004

(jeweils mit Endungen wie .BAT, .PIF oder .SCR). Kazaa-Benutzer tun gut daran, diesen Dateien aus dem Weg zu gehen.

Ferner ersetzt er die Systemdatei Taskmon.exe durch eine Kopie seiner selbst. Diese liegt im System-Ordner, der sich je nach Windows-Version unterscheidet:

C:\WINDOWS\SYSTEM\ oder C:\WINNT\SYSTEM32\ oder C:\WINDOWS\SYSTEM32\

Im selben Ordner erzeugt er die Datei shimgapi.dll

Offenbar verknüpft der Mydoom-Wurm diese DLL-Datei mit der bestehenden Datei EXPLORER.EXE, indem er nach einem Neustart diesen Registry-Eintrag setzt:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

Mit dem Eintrag: "(Default)" = %SysDir%\shimgapi.dll

Um sein erneutes Aufstarten zu gewährleisten, fügt der Wurm in diesen Zweigen der Windows-Registry einen Eintrag hinzu:

HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Eintrag: "TaskMon" = %SysDir%\taskmon.exe

Weitere Registry-Einträge kreiert er hier:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

Da der Wurm in der Internetverbindung Ports öffnet (TCP 3127 bis 3198), ist zu vermuten, dass er von aussen auf weitere Anweisungen seines "Schöpfers" wartet.

Gemäss den finnischen Virenbekämpfer von F-Secure [2], sei der Wurm offenbar dazu programmiert, eine so genannte DDos-Attacke gegen die Firma SCO zu starten, die sich seit dem letzten Jahr durch zweifelhafte Millionenklagen bei der Linux-Gemeinde unbeliebt macht. Ob der Wurm aus der Linux-Szene kommt, ist noch ungewiss. Es könnte auch umgekehrt sein, z.B. ein SCO-Fan, welcher der Linux-Szene etwas in die Schuhe schieben will.

Wie oben erwähnt, kopiert sich der Wurm in den freigegebenen Ordner der Kazaa-Tauschbörse. Damit soll er allzu neugierige Kazaa-Benutzer anstecken, die sich das File vom infizierten Rechner herunterladen. Zusätzlich mailt er sich an Adressen, die er in Adressbüchern, gespeicherten Mails und Webseiten findet.

Die erste Variante des Wurms (W32/Mydoom.A) ist übrigens dazu programmiert, am 12. Februar mit der automatischen Verbreitung aufzuhören. Das bedeutet jedoch nur, dass er keine Wurm-Mails mehr verschickt. Die Hintertüre mit den offenen Ports bleibt bestehen, sofern der Wurm nicht entfernt wird.

Ausser bei NAI und F-Secure, wird der Wurm auch bei Symantec [3] beschrieben. Bei einer so schnellen Verbreitung des Wurms ist zu erwarten, dass einige der Antiviren-Hersteller ein Beseitigungs-Tool entwickeln werden, um den Schädling von einem infizierten System zu entfernen.

Update: Beseitigungs-Tools gibts jetzt bei allen drei oben erwähnten Wurmbeschreibungen.

Neue Variante:

Vom oben beschriebenen Wurm gibts eine neue Variante namens W32/Mydoom.B. Diese verwendet gemäss ersten Informationen von NAI [4] ähnliche Mailtexte, jedoch bei der Installation im System etwas andere Dateinamen. Und wie F-Secure schreibt [5], werde diese Wurm-Variante nicht nur die Webseite von SCO (www.sco.com) angreifen, sondern auch jene von Microsoft (microsoft.com).