Diese neue Variante des Worm/MyDooms besitzt ebenfalls eine Massenmailing-Funktion, welche er über seine eigene SMTP Engine nutzt. Ebenfalls versucht er sich mit Hilfe gesharter Verzeichnisse auf andere Rechnersystem verbreiten. Wird der Worm/MyDoom.BB ausgeführt, so erstellt dieser zwei Dateien in das Windows Verzeichnis: | \%WinDIR%\java.exe
| | \%WinDIR%\services.exe (Backdoor Komponente) |
und legt die folgende Einträge in die Windows Registry an: | [HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run] "JavaVM"="\%WinDIR%\java.exe " "Services"="\%WinDIR%\services.exe"
| | [HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run] "JavaVM"="\%WinDIR%\java.exe " "Services"="\%WinDIR%\services.exe"
| | [HKEY_CURRENT_USER\Software\Microsoft\ Daemon] %neuer Eintrag%
| | [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Daemon] %neuer Eintrag% |
Der Wurm durchsucht auf dem infizierten System Dateien mit folgender Dateierweiterung nach Emailadressen, an die er sich versenden kann: | .pl*
| | .ph*
| | .tx*
| | .ht*
| | .asp
| | .sht
| | .adb
| | .dbx
| | .wab |
Ebenfalls, um Emails zu sammeln, wird eine GET Anfrage an folgende Suchengine gestellt: | search.yahoo.com
| | search.lycos.com
| | www.altavista.com
| | www.google.com |
Sollte in der Emailadresse eine der folgende Zeichketten enthalten sein, versendet sich Worm/MyDoom nicht an diese: | abuse
| | accoun
| | admin
| | anyone
| | arin.
| | avp
| | avp
| | bar.
| | bugs
| | ca
| | certific
| | domain
| | example
| | feste
| | foo
| | foo.com
| | gmail
| | gnu.
| | gold-certs
| | google
| | help
| | hotmail
| | info
| | listserv
| | master
| | me
| | microsoft
| | msdn.
| | msn.
| | no
| | nobody
| | noone
| | not
| | nothing
| | ntivi
| | page
| | panda
| | privacy
| | rarsoft
| | rating
| | ripe.
| | sample
| | sarc.
| | seclist
| | secur
| | sf.net
| | site
| | soft
| | someone
| | sophos
| | sophos
| | sourceforge
| | spam
| | spersk
| | submit
| | support
| | syma
| | the.bat
| | trend
| | update
| | uslis
| | winrar
| | winzip
| | yahoo
| | you
| | your |
Worm/MyDoom lädt eine Datei von der Webseite www.aoprojecteden.org nach und versucht diese auszuführen. Diese wird von AntiVir bereits als BDS/Nemog.D erkannt.
|