| Alias-Namen: Worm/MyDoom, W32/Novarg@mm, Shimgapi, Win32.Mydoom.A WORM_MIMAIL.R Virentyp: Wurm Verbreitung: E-Mail und Shared Verzeichnisse KaZaA Netzwerke.
Betreff/Subject (bei E-Mail): Error - hello - hi - Mail Delivery System - Mail Transaction Failed - test - Server Report - Status
Mailtext: Mail transaction failed. Partial message is available ODER The message conatins Unicode characters and has been sent as a binary attachment ODER The message cannont be represented in 7-bit ASCII encoding and has been send as a binary attachment
Dateianhang (bei E-Mail): Mögliche Dateiendungen: .pif, .exe, .scr, .zip, .cmd oder .bat. Mögliche Dateinamen (bei E-Mail): body, data, doc, document, message, file, text, test, readme
Dateianhang (über KaZaA): Mögliche Dateiendungen: .pif, .exe. .bat oder .scr. Mögliche Dateinamen (bei KaZaA): activation_crack, icq2004_final, nuke2004, offic_crack, winamp5, strip-girl-2.0bdcom_patches, rootkitXP Erkennbare Anzeichen einer Infektion: Existenz der Datei "Shimgapi.dll" im Windows System Verzeichnis. Notepad.exe (Schreib-Editor) hat sich geöffnet und "Datenmüll" angezeigt.
Bekannte Schäden: Versendet sich mittels eigener SMTP-Routine (in einfachen Worten Mini-Mailprogramm im Wurm integriert) an alle Mailadressen die der Wurm in verschiedenen Dateien bestimmter Endungen finden kann. Jedoch werden auch wahllose Mailadressen (zum Teil aus einer Namensliste) "generiert", welches wiederum bei ungültigen Adressen zu Rückläufern unbeteiligter Personen führen kann. Deaktiviert sich selber am 12.02.2004 und ist somit nicht mehr aktiv. Lokale Schäden (z.B. Datenverluste) erfolgen nicht. Installiert Backdoor Komponente, potenzielle Angreifer können über TCP Ports 3127 bis 3198 auf das infizierte System zugreifen. Startet am 01.02.04 eine DOS-Attacke auf die Webseite "sco.com".
Update 28.01.2004 - Neue Variante "B" im Umlauf!
Zwischenzeitlich befindet sich eine Variante B von "Mydoom" im Umlauf. Die wesentlichen Unterschiede bestehen darin, dass der Wurm nicht nur ein DOS-Attacke auf "sco.com", sonder auch auf "microsoft.com" startet. Mydoom.b modifiziert die Host-Datei dahingehend, dass die meisten Webseiten / Domains der AntiVirus Hersteller nicht mehr zu erreichen sind um sich Rat, Hilfe und entsprechende Updates einzuholen. Weitere Infos speziell zur Variante "B" auf den englischsprachigen Seiten von McAfee. Gegenmittel: als kostenloses Removal Tool bei uns erhältlich Informationen Englisch: TrendMicro | F-Secure | BitDefender | Kaspersky | McAfee | Symantec | CAI | Norman | Informationen Deutsch: H+BEDV | Virenschutz BitDefender | Sophos | Ikarus | |