Der Mydoom-Wurm
Vorsicht ist geboten bei einem neuen Wurm, der derzeit das Internet unsicher macht: W32/Mydoom
(alternative Namen: W32.Novarg.A@mm, Win32/Shimg, WORM_MIMAIL.R).
Die Malware verbreitet sich per Mail und über das Kazaa-Netzwerk.
Der Wurm kommt mit einer gefälschten Absender-Adresse und verschiedenen Betreffzeilen wie: "Error", "Status", "Server Report", "Hello" oder "Hi". Der Anhang mit dem Wurm ist 22.528 Byte groß, die Dateiendung variiert von .bat über .exe, .pif, .cmd bis hin zu .scr. Das Icon des Anhangs täuscht eine Text-Datei vor.
Sobald der Anhang angeklickt wird, kopiert sich der Wurm in das Windows Systemverzeichnis als "taskmon.exe". Folgende Registry-Einträge werden vorgenommen:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe
Der Wurm nutzt eine DLL, die er im Windows Systemverzeichnis erstellt hat:
%SysDir%\shimgapi.dll (4,096 Byte)
Hier habt ihr ein Tool um den Wurm zu entfernen.
<a href="redirect.jsp?url=http://www.chanthakim.de/pqremove.zip
" target="_blank">http://www.chanthakim.de/pqremove.zip
</a>
Quelle(Forum)