Navn: W32.MyDoom.B
Alias: Win32.Mydoom.B
W32/Mydoom.b@MM
W32.Mydoom.B@mm
Udsendt: 28-01-2004 21:57:46
Type: W32 Virus
Spredning: Høj
Ødelæggelse: Høj
Sårbare klienter: Windows 2000
Windows 95
Windows 98
Windows ME
Windows XP
Vedhæftede filer: Se teknisk beskrivelse.
Størrelse: 29,184 B
Disinfektion:
Opdaget: 28-01-2004 21:39:52
Beskrivelse:
W32.Mydoom.B er internet orm, den spreder sig ved at søge filer igennem
på det inficerede system, herfter sender den sig selv, igennem sin egen
STMP server, til alle email adresser fundet på systemet.
Ormen indeholder som W32.MyDoom.a, en bagdør der fungerer som en proxy
server, det er også muligt at bruge denne bagdør til at downloade og
eksekvere filer på det inficerede system.
Følgende kan ske ved inficering af denne orm:
Kraftig udsendelse af email fra det inficerede system
Ormen åbner en bagdør på systemet.
Ormen vil forsøge at lave et DoS (Denial of Service) angreb.
Rettelser i hosts filen der sørger for at en række sider ikke kan
vises.
Spredning af ormen via KaZaa fildelingsprogrammet.
Ormen laver følgende filer på det inficerede system:
%Temp%\Message
%SystemDir%\ctfmon.dll
%SystemDir%\explorer.exe
Ormen indsætter følgende i registreringsdatabasen:
værdi: "(Default)" = %System%\ctfmon.dll
Nøgle:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcSer
ver32
Beskrivelse: Dette starter den ovenstående DLL, som indeholder
bagdøren, sammen med explorer.exe.
værdi: "Explorer" = %System%\Explorer.exe
Nøgle: HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
og:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Beskrivelse: Dette får ormen til at starte sammen med windows.
Teknisk Beskrivelse:
En mail fra ormen kan se sådan her ud:
Afsender: en forfalsket email adresse.
Emne, en af følgende:
Returned mail, Delivery Error, Status, Server Report, Mail
Transaction Failed, Mail Delivery System, hello eller hi
Besked, en af følgende:
The message cannot be represented in 7-bit ASCII encoding and has
been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary
attachment.
Error #804 occured during SMTP session. Partial message has been
received.
sendmail daemon reported:
Mail transaction failed. Partial message is available.
The message contains MIME-encoded graphics and has been sent as a
binary attachment.
Vedhæftet:
Den vedhæftede fil ender på en af følgende:
pif, scr, exe, cmd, bat, zip
Når den W32.Mydoom.B bliver eksekveret sker følgende:
Den laver følgende filer:
%Temp%\Message
%SystemDir%\ctfmon.dll - indeholder bagdøren
%SystemDir%\explorer.exe - selve ormen.
W32.MyDoom.B laver følgende ændringer i registreringsdatabasen:
værdi: "(Default)" = %System%\ctfmon.dll
Nøgle:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcSer
ver32
Beskrivelse: Dette starter den ovenstående DLL, som indeholder
bagdøren.
værdi: "Explorer" = %System%\Explorer.exe
Nøgle: HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
og:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Beskrivelse: Dette får ormen til at starte sammen med windows.
ctfmon.dll er selve bagdøren, denne bliver startet op af explorer.exe
når computeren startes, den lytter på en af følgende porte: 80,1080,
3128, 8080, 10080. Der er gennem denne bagdør muligt for en ondsindet
person at downloade og eksekvere filer på det inficerede system,
samtidigt fungerer den som en proxy server.
Ormen finder email-adresser ved at søge følgende filer igennem: wab,
adb, tbb, dbx, asp, php, sht, htm, txt og pl på det inficerede system,
ormen vil vidresende sig selv til alle adresser den finder, gennem dens
egen SMTP server, samtidigt indeholder den en stor liste over
almindelige navne som den
også vil forsøge at sende til på det fundne domæne.
W32.MyDoom.B vil også forsøge at sprede sig via KaZaa ved at kopiere sig
selv ned i den delte KaZaa mappe med følgende filnavne:
xsharez_scanner, BlackIce_Firewall_Enterpriseactivation_crack,
zapSetup_95_693, MS59-56_hotfix, winamp0, NessusScan_pro, attackXP-6.71
Ormen vil indlede et DoS (Denial of Service) angreb imod
www.sco.com og
www.microsoft.com.
Ormen ændrer hosts filen på det inficerede system, så det bliver umuligt
at besøge følgende sider:
ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com
Dette kan gøre det mere besværligt at få renset et inficeret system.
Fjernelse:
Genstart Computeren i fejlsikret tilstand.
Stop processen: taskmon.exe i joblisten.
Slet følgende filer hvis de eksisterer:
%Temp%\Message
%SystemDir%\ctfmon.dll
%SystemDir%\explorer.exe
Vælg start -> kør -> skriv: regedit -> tryk ok.
Find nøglen:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcSer
ver32
Nulstil værdien: "(Default)" = %System%\ctfmon.dll
Fjern værdien: Explorer = %System%\Explorer.exe
Fra følgende nøgler:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Slet de tilføjede linjer fra din hosts fil:
%SystemDir%\Drivers\etc\hosts