Domwoot.B 07.06.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Domwoot.B ist zurzeit verstärkt per E-Mail unterwegs und verstopft viele Postfächer.
In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse letzte Woche als Spam-Schleuder verwendet wurde und deshalb der E-Mail-Account kurzfristig gesperrt wird.
Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen und Instruktionen die angedrohte Sperrung des E-Mail-Accounts zu verhindern,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Your Account is Suspended”

Dateianhang: readme.zip.exe

Größe des Dateianhangs: 86.681 Bytes

E-Mail-Text:
„We have temporarily suspended your email account %Emailadresse des Empfängers%.
Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week.
If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\svchosts.exe

Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Win32 Driver"="svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once]
• "Win32 Driver"="svchosts.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once]
• "Win32 Driver"="svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "Win32 Driver"="svchosts.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "Win32 Driver"="svchosts.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\shit]
• "Type"=dword:00000020
• "Start"=dword:00000004
• "ErrorControl"=dword:00000001
• "ImagePath"=hex(2):"%SYSDIR%\svchosts.exe" -netsvcs
• "DisplayName"="Win32 Driver"
• "ObjectName"="LocalSystem"
• "FailureActions"=hex:%Hex Werte%
• "DeleteFlag"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Securi ty]
• "Security"=hex:%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Enum]
• "0"="Root\\LEGACY_SHIT\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHI T]
• "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHI T\0000]
• "Service"="shit"
• "Legacy"=dword:00000001
• "ConfigFlags"=dword:00000000
• "Class"="LegacyDriver"
• "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
• "DeviceDesc"="Win32 Driver"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHI T\0000\Control]
• "*NewlyCreated*"=dword:00000000
• "ActiveService"="shit"

Der Wurm durchsucht folgende Dateien nach E-Mail-Adressen:
• wab; html; adb; tbb; dbx; asp; php; xml; cgi; jsp; sht; htm

Es wird versucht folgende Information zu klauen:
– Der Netzwerkverkehr wird abgehört und auf folgende Zeichenketten geprüft:
• :.secure; :!advscan; :.advscan; :.ipscan; :!ident; :.ident; :.Login;
:!Login; :!login; :.login; oper; NICK; OPER; PASS; USER; paypal.com;
PAYPAL.COM; account=; email=; exp=; address=; CVV2=; ccv2=; cvv2=;
card=; cctype=; ccnumber=; amex=; visa=; mastercard=; VISA=; pass=;
login=; password=; passwd=; PAYPAL; paypal

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!