17. 02. 2005 Worm / My Doom. BB

Worm/MyDoom.BB
	Vireninformation

Virus Alias		W32.Mydoom.AX@mm, Win32.Mydoom.AU

Dateigröße		25.771 Bytes

Virustyp		Wurm

Betroffene Betriebssysteme		Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP, Windows Server 2003

Schadensroutine		- Emailversand - Backdoor Routine

Entdeckt am		17.02.2005

Ab VDF Version		6.29.00.132


	Schadenspotential

Gemeldete Infektionen

Schadenspotential

Verbreitungspotential

Technische Details

Infektion

Diese neue Variante des Worm/MyDooms besitzt ebenfalls eine Massenmailing-Funktion, welche er über seine eigene SMTP Engine nutzt. Ebenfalls versucht er sich mit Hilfe gesharter Verzeichnisse auf andere Rechnersystem verbreiten. Wird der Worm/MyDoom.BB ausgeführt, so erstellt dieser zwei Dateien in das Windows Verzeichnis:

	\%WinDIR%\java.exe
	\%WinDIR%\services.exe (Backdoor Komponente)

und legt die folgende Einträge in die Windows Registry an:

	[HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run] "JavaVM"="\%WinDIR%\java.exe " "Services"="\%WinDIR%\services.exe"
	[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run] "JavaVM"="\%WinDIR%\java.exe " "Services"="\%WinDIR%\services.exe"
	[HKEY_CURRENT_USER\Software\Microsoft\ Daemon] %neuer Eintrag%
	[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Daemon] %neuer Eintrag%

Der Wurm durchsucht auf dem infizierten System Dateien mit folgender Dateierweiterung nach Emailadressen, an die er sich versenden kann:

	.pl*
	.ph*
	.tx*
	.ht*
	.asp
	.sht
	.adb
	.dbx
	.wab

Ebenfalls, um Emails zu sammeln, wird eine GET Anfrage an folgende Suchengine gestellt:

	search.yahoo.com
	search.lycos.com
	www.altavista.com
	www.google.com

Sollte in der Emailadresse eine der folgende Zeichketten enthalten sein, versendet sich Worm/MyDoom nicht an diese:

	abuse
	accoun
	admin
	anyone
	arin.
	avp
	avp
	bar.
	bugs
	ca
	certific
	domain
	example
	feste
	foo
	foo.com
	gmail
	gnu.
	gold-certs
	google
	help
	hotmail
	info
	listserv
	master
	me
	microsoft
	msdn.
	msn.
	no
	nobody
	noone
	not
	nothing
	ntivi
	page
	panda
	privacy
	rarsoft
	rating
	ripe.
	sample
	sarc.
	seclist
	secur
	sf.net
	site
	soft
	someone
	sophos
	sophos
	sourceforge
	spam
	spersk
	submit
	support
	syma
	the.bat
	trend
	update
	uslis
	winrar
	winzip
	yahoo
	you
	your

Worm/MyDoom lädt eine Datei von der Webseite www.aoprojecteden.org nach und versucht diese auszuführen. Diese wird von AntiVir bereits als BDS/Nemog.D erkannt.

Verbreitung

Worm/MyDoom.BB besitzt seine eigene SMTP Engine. Die Email, welche der Wurm versendet, wird aus verschiedenen Bestandteilen zusammengesetzt.

Absender (FROM): %Spoofed%

Betreff (SUBJECT):

	hello
	hi
	error
	status
	test
	report
	delivery failed
	Message could not be delivered
	Mail System Error - Returned Mail
	Delivery reports about your e-mail
	Returned mail: see transcript for details
	Returned mail: Data format error delivered

Emailtext (BODY):

Der Emailtext variiert und hat immer einen unterschiedlichen Inhalt.

Anhang (ATTACHMENT):

Der Dateiname des Anhangs setzt sich aus dem Namen und der Erweiterung zusammen, welche vom Wurm zufällig gewählt wird:

	ATTACHMENT
	DOCUMENT
	FILE
	INSTRUCTION
	LETTER
	MAIL
	MESSAGE
	README
	TEXT
	TRANSCRIPT

mit einer der folgenden Dateierweiterungen:

	.bat
	.cmd
	.com
	.exe
	.pif
	.scr
	.zip