Win32.MyDoom.F@mm
| Ausbreitung : | high | |
| Schaden : | high | |
| Size: | 26000 + max. 8096 bytes | |
| Entdeckt : | 2005 May 31 |
SYMPTOMS:
- The registry key HKLM/HKCU_\\Software\\Microsoft\\Windows\\CurrentVersion\\Shell;- Activity on port 1080.
TECHNICAL DESCRIPTION:
This mass-mailer was written in Visual C++ 7 and packed with UPX 1.24.It arrives in an email in the following format:
From: [forged email address]
Subject: with a 8% chance the subject line consists of 3 to 17 random letters; otherwise (92% chance) it is one of the following:
test
hi
hello
Returned Mail
Confirmation Required
Confirmation
Registration Confirmation
please reply
please read
Read this message
Readme
Important
Your account has expired
Expired account
Notification
automatic responder
automatic notification
You have 1 day left
Warning
Information
For your information
For you
Something for you
Read it immediately
Read this
Read it immediately!
Your credit card
Schedule
Accident
Attention
stolen
news
recent news
Wanted
fake
unknown
bug
forget
read now!
Current Status
Your request is being processed
Your order is being processed
Your request was registered
Your order was registered
Re: (censored)
Undeliverable message
Love is...
Love is
Your account is about to be expired
Your IP was logged
You use illegal file sharing...
Thank You very much
hi, it\'s me
Approved
Re: Approved
Details
Re: Details
Thank you
Re: Thank you
Announcement
(sometimes - 60% chance - the first letter of the above texts is capitalized; or - 10% chance - the entire subject line is capitalized).
Body: One of the following:
test
Details are in the attached document. You need Microsoft Office to open it.
See the attached file for details
Please see the attached file for details
The document was sent in compressed format.
Check the attached document.
Everything ok?
OK
Okay
I\'m waiting
Read the details.
Here is the document.
I wait for your reply.
Is that from you?
Is that yours?
You are a bad writer
I have your password :)
Something about you
Kill the writer of this document!
We have received this document from your e-mail.
Here it is
See you
Greetings
Information about you
Please, reply
Reply
Take it
You are bad
Attachment: One of the following:
- [name].exe file (13% chance);
- [name].zip file (34.8% chance);
- [name].{txt, doc, htm, rtf, xls, jpg, gif, png}[40 to 159 spaces].{pif, scr, exe} (52.2% chance).
In 12% of cases, [name] is made up of 3 to 7 random characters; in the other 88% of cases, it is one of the following:
msg
doc
document
readme
text
file
data
test
message
body
details
creditcard
attachment
stuff
me
post
posting
textfile
info
information
note
notes
product
bill
check
ps
money
about
story
list
joke
jokes
friend
site
website
object
mail2
part1
part4
part2
part3
misc
disc
paypal
approved
details
your_document
image
resume
photo
When first run, it creates HKLM/HKCU_\\Software\\Microsoft\\Windows\\CurrentVersion\\Shell; this will be checked to see if the virus is already installed; a thread is created; in 70% of cases, this thread displays one of the following messages:
File is corrupted.
File cannot be opened.
Unable to open specified file.
In the other 30% of cases, it creates a temporary file named \"Mail\", \"Body\", \"Text\" or \"Data\", fills it with random rows of text and opens it with Notepad; when the user closes Notepad, the temporary file is deleted.
A mutex called \"jmydoat[computer name]mtx\" is used to avoid running multiple copies of the virus.
It drops and executes a DLL with a name of 4 to 8 random letters in the system folder (or in the folder for temporary files). This DLL has the following functionality:
- on Win9x systems, calls the RegisterServiceProcess function to hide the process;
- opens a backdoor server on port 1080; a connecting user can send an executable file that the backdoor will save and run; she can also order the infected machine to connect to a specified host and port and await commands on that connection;
- terminates processes that contain the following substrings in the name: \"reged\", \"taskmo\", \"taskmg\", \"avp.\", \"avp32\", \"norton\", \"navapw\", \"navw3\", \"intrena\", \"mcafe\".
The virus copies itself in the system folder (or the temporary folder) with a name of 4 to 13 random letters (with \".exe\" extension); it appends a maximum of 8096 random bytes at the end of the file (offset 26000) so that the copy is not identical to the original version. An entry with a random name of 4 to 8 letters in the HKLM/HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run key is created and pointed to the copy of the virus in the system/temp folder; this way, the virus will be run at start-up.
If the day of the month is between 17 and 22 and the computer is connected to the Internet, the virus creates a thread that will flood www.riaa.com (or riaa.com) in 33% of cases or www.microsoft.com (or microsoft.com) in 67% of cases. 64 threads are used to connect to the flooded website; after the main thread ends the connection with the flooded site, it waits for 1 minute and then loops (recreates 63 more connecting threads and reconnects itself).
The virus manages a list of email addresses that are gathered from the user\'s files; a thread monitors this list and sends email to the addresses in the lists, while the main thread adds addresses to the list by scanning the files.
The following files and folders are scanned:
- file c:\\init;
- Windows Address Book (WAB);
- Temporary Internet Files folder (5 levels of depth);
- fixed drives and ramdisks (15 levels of depth);
- all drives (5 levels of depth).
The following files are scanned for email addresses: files matching the masks: *., *.htm*, *.sht*, *.php*, *.asp* , *.dbx*, *.adb*, *.eml*, *.pl, *.msg*, *.vbs*, *.mht*, *.uin*, *.rtf*, *.ods*, *.mmf*, *.ncx*, *.mbx* with a maximum size of 204800 bytes; files *.txt with a maximum size of 81920 bytes; files *.tbb* files (The Bat! email archives) with a maximum size of 1228800 bytes; *.wab* files (Windows Address Book files) with a maximum size of 8388608 bytes; files matching the mask *inbox*.
Email addresses containing the following substrings will be avoided: avp, syma, icrosof, msn., hotmail, panda, sopho, borlan, inpris, example, mydoma, nodoma, ruslis, .gov, gov., .mil, foo., suppo, essagela, nai.co, isi.e, isc.o, secur, .acketst, pgp, ibm.com, google, kernel, linux, fido, usenet, sourcef, slashdot, sun.com, sgi.com, solaris, irix, iana, ietf, rfc-ed, sendmail, arin., ripe., berkeley, unix, math, bsd, mit.e, gnu, fsf., tanford.e, utgers.ed, mozilla, spam, admin, support, ntivi, listserv, certific, accoun, contact, master; email addresses beginning with spm, www, secur, abus, root, info, samples, noone, nobody, nothing, anyone, someone, your, you, me, bugs, rating, site no, somebody, privacy, service, help, not, submit, feste, ca, gold-certs, the.bat will also be avoided.
Files matching the following masks have a chance of being deleted when found: *.mdb* (98% chance), *.doc* (40%), *.xls* (60%), *.sav* (95%), *.jpg* (89%), *.avi* (10%), *.bmp* (15%).
In 40% of cases, or if the pathname of the folder that is scanned contains \"shar\" or \"startup\", or if it contains \"start\" and with a chance of 20%, the virus creates a zipped (75% chance) or plain (25% chance) copy of itself in that folder; the name of the copy contains 4 to 13 random letters and the \".zip\" or \".exe\" extension.
The virus will wait for approx. 32 seconds before restarting the scanning sequence.
The thread that sends email checks to see if the machine is connected to the Internet; it makes sure the list of target email addresses doesn\'t exceed 4096 entries; if there are more than 3 entries in the list, after 12 seconds of inactivity it will add a random email address to the list: {john, alex, james, sam, jim, smith, bill, jerry}@[domain of another address in the list].
The virus uses internal SMTP functions to send emails. It attempts to DNS-resolve the domain-part of the email address and use that host as an SMTP server; if it fails, it uses the user\'s configured SMTP server.
The thread that sends emails will pick a random entry in the list of target addresses, compose an email in the format described above and send it; another entry in the addresses list (or the address [3 to 5 random letters]@{aol.com, msn.com, yahoo.com, hotmail.com}, in 18% of cases) is used to forge the sender\'s address.
Removal instructions:
Automatic RemovalLet BitDefender delete infected files.
ANALYZED BY:
Bogdan DraguBitDefender Virus Researcher
Die E-Guides-Reihe von Bitdefender
Die E-Guides-Reihe von Bitdefender ist eine Lerninitiative, deren Ziel es ist, die Leser- und Anwendergemeinschaft von Bitdefender mit wertvollen Informationen über Bedrohungen aus dem Internet und IT-Sicherheitsfragen zu versorgen und zudem praktische Ratschläge und machbare Lösungen für alle Anforderungen rund um den Online-Schutz bereitzustellen. Die Sicherheitanalysten von Bitdefender teilen ihr Wissen um die Identifizierung und Abwehr von Malware-Bedrohungen und legen dabei besonderen Wert auf Online-Datenschutz und verschiedene Technologien, Gegenmaßnahmen und Methoden zur Abwehr von Cyber-Kriminalität.
Die E-Guides-Reihe behandelt verschiedenste Themen vom Online-Schutz für Kinder und Familien über die Sicherheit in sozialen Netzwerken und den Schutz vor Datendiebstahl bis hin zur Absicherung von ganzen Unternehmensumgebungen und richtet sich daher an ein breites Publikum aus mittelständischen Unternehmen und Privatanwendern, die sich für die Sicherheit und Integrität ihrer Netzwerke und Systeme interessieren. Die E-Guides enthalten zudem nützliche Informationen für die tägliche Arbeit von IT-Sicherheitsmanagern, System- und Netzwerkadministratoren, Entwicklern von Sicherheitstechnologien, Analysten und Forschern.
Anleitung zum sicheren Blogging
Wie Sie Ihr Blog und Ihre Identität vor Missbrauch schützen können
Blogging ist eine der beliebtesten Möglichkeiten, sich im Internet einer breiten Öffentlichkeit zu präsentieren und mittlerweile gibt es bereits mehr als 150 Millionen registrierte Blogs weltweit. Während der durchschnittliche Leser dieser Blogs nur auf der Suche nach Informationen und Artikeln ist, hegen Internet-Kriminelle ein ganz anderes Interesse. Sie dursuchen Blogs nach persönlichen Informationen oder nutzen sie als billigen Speicherplatz für ihre Malware-Kampagnen, um nur zwei Beispiele aus einer Vielzahl von Missbrauchsmöglichkeiten zu nennen.
Diese Anleitung enthält Richtlinien für sicheres Blogging und konzentriert sich dabei auf individuelle Blogs, die entweder vom Blogger selbst oder von kommerziellen Blog-Anbietern als Hosting-Dienstleistung betrieben werden.
Anleitung zum Schutz drahtloser Netzwerke
Wie Sie Ihr Heimnetzwerk vor Eindringlingen schützen können
Dieses Dokument richtet sich an Anwender, die zuhause bereits ein drahtloses Netzwerk eingerichtet haben oder beabsichtigen, dies zu tun. Heutztage ist die drahtlose Kommunikation aus dem täglichen Leben kaum noch wegzudenken. Internet-Kriminelle wissen jedoch jede Schwachstelle in der Konfiguration von Drahtlosnetzwerken auszunutzen, um Datenverkehr abzufangen oder die Internet-Verbindung für illegale Zwecke zu nutzen.
In dieser Anleitung erfahren Sie alles Wissenswerte über die Nutzung von ungesicherten Drahtlosnetzwerken und die richtige Konfiguration Ihres Heim-Routers oder Zugangspunkts, damit Sie Ihr Netzwerk vor Missbrauch schützen können.
Online-Leitfaden zum Jugendschutz
Wie Sie die digitalen Welten Ihrer Kinder nachhaltig schützen können
Dieses Dokument richtet sich an Familien, Eltern und Lehrer uns soll ihnen dabei helfen, die digitalen Ausflüge von Kindern und Jugendlichen möglichst sicher zu gestalten. Heute haben sich Computer durch Massenproduktion und ständige Verfügbarkeit zu einem täglichen Begleiter entwickelt und Kinder machen sich mit PC und Internet schon sehr früh vertraut. Doch trotz der unbestrittenen Vorteile im Bereich der Kommunikation kann das Internet auch ein gefährlicher Ort für Kinder sein. Es lauern E-Threats, die speziell auf diese Altersgruppe zugeschnitten sind.
Dieser E-Guide behandelt die häufigsten Risiken und Gefahren für Kinder und Jugendliche im Internet, so z.B. Cyber-Mobbing, nicht jugendfreie Inhalte, Internet-Sucht und andere schädliche Internet-Einflüsse. Gleichzeitig werden Themen wie Malware, Phishing-Attacken, Identitätsdiebstahl und Spam-Nachrichten behandelt, die Teenager heutzutage genau wie jeden anderen Internet-Nutzer betreffen. Ein Bereich mit Sicherheitstipps hilft Eltern und Lehrern diese Themen besser zu verstehen und in Angriff zu nehmen ohne dabei die Kinder außer Acht zu lassen.
Ein Leitfaden zur Online-Sicherheit für Silver Surfer
Wie man wertvolle Ideen und Anlagen gegen Cyber-Angriffe schützen kann
Dieses Dokument richtet sich an Familien und ältere Mitbürger und soll ihnen dabei helfen, sicher im Internet zu surfen und ihre Online-Aktivitäten zu genießen.
Auf den ersten Blick könnte man meinen, dass Online-Kriminalität altersunabhängig ist und unsere älteren Mitbürger im gleichen Maße bedroht wie jeden anderen unerfahrenen Internet-Nutzer. Dieser E-Guide zeigt jedoch anhand verschiedener Fallstudien, dass speziell Silver Surfer von einer Vielzahl von Bedrohungen betroffen sind, so zum Beispiel Betrugsversuche bei Rentenzahlungen, betrügerische Methoden zur Steuerzahlung oder andere Betrugsmaschen, die es auf ihr Geld abgesehen haben. Neben den Fallstudien gibt es Beispiele, Tipps und Infos, um ihnen wertvolle Handlungsempfehlungen für ihre täglichen Internet-Aktivitäten an die Hand zu geben.
Leitfaden zum Schutz vor Datendiebstahl von Unternehmensdaten
Wie Unternehmen sich vor Datendiebstahl schützen
Der E-Guide widmet sich den möglichen wunden Punkten bei der Sicherung von Unternehmensdaten, angefangen von Fragen der physischen Integrität des Netzwerks bis hin zu den komplexen Mechanismen der Cyber-Kriminalität, die sich speziell gegen Unternehmen richtet (z.B. Banking-Trojaner, Phishing-Attacken). Die enthaltenen Materialien sind zwar nicht so detailliert wie eine vollwertige technische Beschreibung, sollen jedoch IT-Administratoren den praktischen Nutzen der Funktionen der Bitdefender-Lösungen für Privat- und Geschäftskunden anhand von Situationsbeispielen aufzeigen.
Dieses Dokument unterstützt Sie bei der Entscheidung, welche Sicherheitstrategie für kleine und mittelgroße Netzwerke am sinnvollsten ist, und bietet eine gute Grundlage für weiterführende Vergleiche in diesem Bereich.
Whitepapers
- Facebook-Whitepaper
- Bitdefender Virenschutz-Technologie
- B-HAVE, Der Weg zum Erfolg (.pdf)
- Nur das Mittel oder die Nachricht? Der richtige Umgang mit Bilder-Spam, Dezember 2006,Virus Bulletin
- Abwehr von Spam in Bilddateien
- Bitdefenders NeuNet-Anti-Spam-Technologie
- Proactive security I body armor against business attacks
- Whitepaper - Aufkommende Bedrohungen der Unternehmenssicherheit
- Das Unsichere sicher machen Bitdefenders vorbeugende B-HAVE-Technologie zum Schutz vor vielfältigen Bedrohungen
- Die Absicherung von E-Mails ist die erste strategische Verteidigungslinie
- Virusnamensgebung. Das alte "Wer ist wer?"-Problem
- Facebook - Die nächste Sicherheitslücke
- Bitdefender Active Virus Control: Vorbeugender Schutz gegen neue und aufkommende Bedrohungen
Bitdefender-Berichte zur Online-Bedrohungslage
Dieser Bericht soll einen umfassenden Einblick in die Bedrohungslandschaft geben. Die Sicherheitsexperten bei Bitdefender® analysieren und untersuchen die Bedrohungen eines jeden neuen Semesters gründlich und konzentrieren sich dabei auf Schwachstellen und Sicherheitlücken in Software-Produkten, die verschiedenen Malware-Typen, möglichen Gegenmaßnahmen, Vorbeugung gegen Internet-Kriminalität und Gesetztesvollzug. Der E-Threats Landscape Report richtet seine Aufmerksamkeit hauptsächlich auf die neuesten Trends, enthält aber auch Fakten und Daten über zuvor untersuchte Zeiträume und gibt zudem Prognosen für kommende Semester ab. Das Dokument richtet sich vornehmlich an Sicherheitsverantwortliche in der ITK-Branche, System- und Netzwerkadministratoren, Entwickler von Sicherheitstechnologien, Analysten und Forscher, spricht aber auch Themen an, die für ein breiteres Publikum von Interesse sind, so zu Beispiel kleinere Unternehmen und einzelne Anwender, die sich um die Sicherheit und Integrität ihrer Netzwerke und Systeme sorgen.
Bericht zur Online-Bedrohungslage 2. Halbjahr 2011 - Übersicht
VOr zwanzig Jahren wurde eine vollkommen revolutionäre Form der elektronischen Kommunikation geboren. Mit den Jahren wurde sie bei Menschen aller Alters- und Einkommensklassen so beliebt, dass sie selbst heute noch das am häufigsten genutzte Kommunikationsmedium ist: die SMS, kurz für Short Message Service.
Die mobilen Telefone von heute sind nicht mehr länger nur unhandliche Geräte, mit denen man telefonieren und Nachrichten verschicken kann: in der Welt 2.0 gehören sie zur Grundausstattung - sie sind leistungsfähig und komplex und haben ihre eigenen Betriebssysteme. Damit werden sie natürlich auch anfällig für digitale Schädlinge. Standen die ersten sechs Monate 2011 noch im Zeichen von Software-Sicherheitslücken und spektakulären Datenpannen, wurde das Augenmerk in der zweiten Jahreshälfte verstärkt auf eine neue Art von Schadprogrammen gerichtet. Darüber hinaus wurde ein Skandal aufgedeckt, bei dem eine Reihe von Mobilfunkanbietern und der umstrittene Software-Anbieter CarrierIQ in die Ausspähung von Benutzerdaten verwickelt waren.
Die Malware-Landschaft wurde von Trojan.Autorun.Inf und Win32.Worm.Downadup dominiert. Diese Malware-Kandidaten haben ihre Wurzeln noch in der Zeit von Windows XP, konnten ihre Stellung aber dennoch behaupten, auch wenn Betriebssystem-Upgrades und das Einspielen von Patches die von ihnen ausgenutzten Sicherheitslücken hätten schließen können. Die wichtigsten Kandidaten für die zweite Hälfte 2011 waren Trojan.AutorunInf, Win32.Worm.Downadup und Exploit.CplLnk.
Die Datenpannen, die den Aktivitäten der Hacker-Aktivisten rund um die Anonymous-Gruppe zugeschrieben werden, haben auch in der zweiten Hälfte 2011 weiter für Aufsehen gesorgt. Die wichtigsten Ziele waren dabei Mitsubishi Heavy Industries, Adidas, RIM, die Tiroler Gebietskrankenkasse, Nexon und die Vereinten Nationen. Das Vertrauen in große Unternehmen wurde zudem im 1. Halbjahr 2011 durch den DigiNotar-Skandal erschüttert, der unbedarfte Benutzer massiven Phishing-Versuchen aussetzte, bei denen gestohlene digitale Zertifikate zum Einsatz kamen, die ursprünglich für renommierte Institutionen und Regierungsstellen wie zum Beispiel Google, Tor, die CIA und den israelischen Geheimdienst Mossad generiert wurden.
Auch soziale Netzwerke hatten entscheidenden Anteil an der Verbreitung von Malware und von Falschmeldungen im Zusammenhang mit dem Tod berühmter Persönlichkeiten wie Muammar al-Gaddafi oder Steve Jobs. Dabei kam den Malware-Kampagnen rund um die angeblichen Filmaufnahmen von der Hinrichtung Gaddafis und der Geschenkaktion in Gedenken an den kürzlich verstorbenen Steve Jobs besondere Bedeutung zu.
Laden Sie jetzt die Vollversion herunter Bericht zur Online-Bedrohungslage 2. Halbjahr 2011 (PDF)
Laden Sie die Zusammenfassung jetzt herunter Bericht zur Online-Bedrohungslage 2. Halbjahr 2011 - Zusammenfassung (PDF)
Archive
2011
Jetzt herunterladen Bericht zur Online-Bedrohungslage 1. Halbjahr 2011 - Zusammenfassung (PDF)
2010
Jetzt herunterladen E-Threats Landscape Report 2. Halbjahr 2010 - Zusammenfassung (PDF)
Jetzt herunterladen E-Threats Landscape Report 2. Halbjahr 2010 (pdf)
Jetzt herunterladen E-Threats Landscape Report 1. Halbjahr 2010 - Zusammenfassung (pdf)
Jetzt herunterladen E-Threats Landscape Report 1. Halbjahr 2010 (pdf)
2009
Jetzt herunterladen Zusammenfassung des Malware- und Spam-Berichts 1. Halbjahr 2009 (pdf)
Jetzt herunterladen E-Threats Landscape Report 1. Halbjahr 2009 (pdf)
Jetzt herunterladen Malware- und Spam-Bericht 2. Halbjahr 2009 (pdf)
Jetzt herunterladen E-Threats Landscape Report 2. Halbjahr 2009 - Zusammenfassung (pdf)
2008
Jetzt herunterladen E-Threats Landscape Report 1. Halbjahr 2008 (pdf)
Jetzt herunterladen E-Threats Landscape Report 2. Halbjahr 2008 (pdf)
Wer sind Ihre Ansprechpartner? Unten finden Sie eine Liste mit unseren Medienvertretern, die Ihre Fragen gerne beantworten werden.
Global PR Manager