W32/Mydoom.S (alias Mydoom.Q)

Vom im Januar erstmals entdeckten Mydoom-Wurm [1] ist jetzt - je nach Zählweise - die ungefähr 17. Variante aufgetaucht. Die Mails, in denen der Wurm eintrifft, geben sich in der typischen Art jener Nachrichten, die sich Benutzer tagtäglich gegenseitig schicken, um einander mit allerlei Scherzbildchen zu beglücken:

Absenderadresse: ist jeweils gefälscht

Betreff: photos

Mailtext: LOL!;))))

Name der Beilage: photos_arc.exe

Wer darauf hereinfällt und die Beilage unter Windows ausführt, sieht in vielen Fällen zuerst ein Notepad-Fenster mit Zeichensalat darin. Das Öffnen der Datei bewirkt zudem eine Infektion des Systems. Der Wurm installiert sich gemäss F-Secure [2] und Symantec [3] wie folgt:

Er versucht von vier verschiedenen Webadressen einen Trojaner (erkannt als Backdoor.Nemog oder BackDoor-CHR) herunter zu laden. Diese Adressen führen zu den Seiten www.richcolour.com und zenandjuice.com, die mit der Virenschreiber-Gruppe offenbar nichts zu tun haben.

Wenn ihm der Download und die Installation gelungen ist, fügt Mydoom.S einen Eintrag in der Windows-Registry ein. Und zwar in diesem Zweig:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer

Diesen Eintrag:

"InstaledFlashhMx" = "1"

Der Mydoom.S-Wurm kopiert sich selber unter dem Dateinamen winpsd.exe in den Windows-Systemordner, also je nach Windows-Version hierhin:

WinXP: C:\Windows\System32\

WinNT/2000: C:\Winnt\System32\

Win9x/Me: C:\Windows\System\

Diese Datei trägt er in der Windows-Registry ein, damit sie bei jedem PC-Start ausgeführt wird. Der Eintrag findet in diesem Registry-Zweig statt:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

und heisst:

"winpsd" = "(Windows-System-Ordner)\winpsd.exe"

Zusätzlich kopiert er sich unter dem Namen rasor38a.dll in den Windows-Ordner (C:\Windows\ oder C:\Winnt\).

Als weitere Manipulation der Registry erstellt er darin noch diesen Zweig:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32

Da sich der Wurm nun verbreiten möchte, durchsucht er diverse Mail-, Text- und Internetdateien nach E-Mailadressen, an die er sich mit den eingangs erwähnten Kennzeichen automatisch verschickt.

Schäden:

Nebst der Beeinträchtigung von Mailservern, die mit einem erhöhten Verkehrsaufkommen konfrontiert werden, gehört die Installation des Backdoor-Trojaners zu den wichtigsten Schadfunktionen dieser Mydoom-Variante. Zusätzlich verändert der Wurm auch das so genannte Hosts-File auf dem infizierten PC. Dies führt dazu, dass dessen Benutzer einige Antiviren-Webseiten nicht mehr erreichen kann.

Da nicht alle Antivirenlabors dieselben Wurm-Bezeichnungen verwenden, gibts auch diesmal wieder Unterschiede: F-Secure nennt den Wurm MyDoom.S, ähnlich auch McAfee [4] (W32/Mydoom.s@MM), bei Symantec ist er als W32.Mydoom.Q@mm bekannt, Kaspersky führt ihn unter der Bezeichnung I-Worm.Mydoom.q [5] und TrendMicro geht einen komplett anderen Weg und hat denselben Wurm WORM_RATOS.A [6] getauft.

Beseitigung:

Gemäss Informationen von McAfee soll deren Beseitigungswerkzeug namens "Stinger" (siehe Link in der McAfee-Beschreibung) jetzt auch mit diesem Wurm fertigwerden.