W32.Mydoom.A@mm

Aufgrund der sinkenden Anzahl von Meldungen hat Symantec Security Response den Wurm W32.Mydoom.A@mm am 30. März 2004 von Kategorie 3 auf Kategorie 2 herabgestuft.

W32.Mydoom.A@mm (auch W32.Novarg.A@mm genannt) ist ein Massen-Mail-Wurm, der als Anhang einer E-Mail mit der Dateierweiterung .bat, .cmd, .exe, .pif, .scr oder .zip kommt.

Wenn ein Computer infiziert wird, richtet der Wurm eine Hintertür ("Backdoor") im System ein, indem er die TCP-Ports 3127 bis 3198 öffnet. Dadurch könnte ein Angreifer eine Verbindung zum Computer herstellen und ihn als Proxy verwenden, um Zugriff auf dessen Netzwerkressourcen zu erhalten.

Außerdem können über die Hintertür beliebige Dateien heruntergeladen und ausgeführt werden.

Es besteht eine Chance von 25 %, dass ein vom Wurm infizierter Computer am 1. Februar 2004 um 16:09:18 MEZ (Systemdatum des Computers) einen Denial-of-Service (DoS)-Angriff durchführt. Wenn der DoS-Angriff gestartet wird, so versendet sich der Wurm nicht per Massen-Mail. Der Wurm ist außerdem so programmiert, dass er am 12. Februar 2004 aufhört, sich zu verbreiten bzw. den DoS-Angriff durchzuführen. Obwohl der Wurm seine Aktivität am 12. Februar 2004 einstellt, bleibt die Hintertür auch nach diesem Datum weiterhin geöffnet.

---

Hinweise:

• Privatanwenderprodukte von Symantec, die Wurmblockierungsfunktionen unterstützen, entdecken diese Bedrohung automatisch beim Versuch, den Computer zu infizieren.
• Symantec Security Response hat ein Entfernungsprogramm entwickelt, mit dem Infektionen von W32.Mydoom.A@mm entfernt werden können.
• Virusdefinitionen, die vor dem 4. Februar 2004 heruntergeladen wurden, erkennen diese Bedrohung als W32.Novarg.A@mm.

---

Wenn W32.Mydoom.A@mm E-Mail versendet, so sendet er keine E-Mails an Domänen, die die folgenden Zeichenfolgen enthalten:

• avp
• syma
• icrosof
• msn.
• hotmail
• panda
• sopho
• borlan
• inpris
• example
• mydomai
• nodomai
• ruslis
• .gov
• gov.
• .mil
• foo.
• berkeley
• unix
• math
• bsd
• mit.e
• gnu
• fsf.
• ibm.com
• google
• kernel
• linux
• fido
• usenet
• iana
• ietf
• rfc-ed
• sendmail
• arin.
• ripe.
• isi.e
• isc.o
• secur
• acketst
• pgp
• tanford.e
• utgers.ed
• mozilla

Es werden keine E-Mails an Konten gesendet, die mit den folgenden Zeichenfolgen übereinstimmten:

• root
• info
• samples
• postmaster
• webmaster
• noone
• nobody
• nothing
• anyone
• someone
• your
• you
• me
• bugs
• rating
• site
• contact
• soft
• no
• somebody
• privacy
• service
• help
• not
• submit
• feste
• ca
• gold-certs
• the.bat
• page

Es werden keine E-Mails an Konten gesendet, die die folgenden Zeichenfolgen enthalten:

• admin
• icrosoft
• support
• ntivi
• unix
• bsd
• linux
• listserv
• certific
• google
• accoun

Außerdem setzt er einen der folgenden Namen vor die gefundenen Domänennamen:

• adam
• alex
• alice
• andrew
• anna
• bill
• bob
• brenda
• brent
• brian
• claudia
• dan
• dave
• david
• debby
• fred
• george
• helen
• jack
• james
• jane
• jerry
• jim
• jimmy
• joe
• john
• jose
• julie
• kevin
• leo
• linda
• maria
• mary
• matt
• michael
• mike
• peter
• ray
• robert
• sam
• sandra
• serg
• smith
• stan
• steve
• ted
• tom