Domwoot.F 06.04.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Domwoot.F ist per E-Mail unterwegs und verstopft die Postfächer. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse letzte Woche als Spam-Schleuder
verwendet wurde und deshalb der E-Mail-Account kurzfristig gesperrt wird. Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen und Instruktionen die angedrohte Sperrung des E-Mail-Accounts zu verhindern,
stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: „We have suspended your account”
Dateianhang: readme.zip.exe
Größe des Dateianhangs: 86.681 Bytes
E-Mail-Text:
„We have temporarily suspended your email account %Emailadresse des Empfängers%.
Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week.”
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\svchosts.exe
Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• \"Win32 Driver\"=\"svchosts.exe\"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once]
• \"Win32 Driver\"=\"svchosts.exe\"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once]
• \"Win32 Driver\"=\"svchosts.exe\"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• \"Win32 Driver\"=\"svchosts.exe\"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• \"Win32 Driver\"=\"svchosts.exe\"
– [HKLM\SYSTEM\CurrentControlSet\Services\shit]
• \"Type\"=dword:00000020
• \"Start\"=dword:00000004
• \"ErrorControl\"=dword:00000001
• \"ImagePath\"=hex(2):\"%SYSDIR%\svchosts.exe\" -netsvcs
• \"DisplayName\"=\"Win32 Driver\"
• \"ObjectName\"=\"LocalSystem\"
• \"FailureActions\"=hex:%Hex Werte%
• \"DeleteFlag\"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Securi ty]
• \"Security\"=hex:%Hex Werte%
– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Enum]
• \"0\"=\"Root\\LEGACY_SHIT\\0000\"
• \"Count\"=dword:00000001
• \"NextInstance\"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHI T]
• \"NextInstance\"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHI T\0000]
• \"Service\"=\"shit\"
• \"Legacy\"=dword:00000001
• \"ConfigFlags\"=dword:00000000
• \"Class\"=\"LegacyDriver\"
• \"ClassGUID\"=\"{8ECC055D-047F-11D1-A537-0000F8753ED1}\"
• \"DeviceDesc\"=\"Win32 Driver\"
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHI T\0000\Control]
• \"*NewlyCreated*\"=dword:00000000
• \"ActiveService\"=\"shit\"
Der Wurm durchsucht folgende Dateien nach E-Mail-Adressen:
• wab; html; adb; tbb; dbx; asp; php; xml; cgi; jsp; sht; htm
Es wird versucht folgende Information zu klauen:
– Der Netzwerkverkehr wird abgehört und auf folgende Zeichenketten geprüft:
• :.secure; :!advscan; :.advscan; :.ipscan; :!ident; :.ident; :.Login;
:!Login; :!login; :.login; oper; NICK; OPER; PASS; USER; paypal.com;
PAYPAL.COM; account=; email=; exp=; address=; CVV2=; ccv2=; cvv2=;
card=; cctype=; ccnumber=; amex=; visa=; mastercard=; VISA=; pass=;
login=; password=; passwd=; PAYPAL; paypal
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
Zitieren