Die letzten Wochen machte dieser Wurm, der sich per E-Mail verbreitet, Schlagzeilen: MyDoom.A und MyDoom.B. Man bekommt, meist in Form von Batch-, Exe- oder ZIP-dateien (in der .bat/.exe Dateien enthalten sind), gefährliche Anhänge zu deren Ausführung Sie in der Nachricht selbst aufgefordert werden. Sollten Sie diese Programme ausführen verschickt sich der Wurm automatisch weiter an alle E-Mail Adressen im Adressbuch und ermöglicht den Zugriff ihres Rechners von Aussen. Die MyDoom.B-Variante ist noch einen Tick schlauer: Sie blockt z.b. microsoft.com, symantec.com und weitere AntiViren-Hersteller, damit Sie weder Patches oder Antiviren-Updates noch Entfernungsprogramme herunterladen können.

Die Lösung kommt von Microsoft:
Der DoomCleaner (Windows 2000 SP2/XP - Achtung: Keine 64-Bit Versionen) entfernt die zwei Varianten des Doom-Wurms vollständig von Ihrem Rechner, wobei die E-Mails mit dem gefährlichen Code beibehalten werden und sie trotzdem noch offen gegen zukünftigen Befall durch erneute Ausführung der Maildateien sind.

                     
               Download des DoomCleaners

Da der Wurm die Ausführung von Seiten wie z.B. Microsoft.com verhindert, ist es ratsam einen unbefallenen PC zu benutzen und die Datei (108kb) per Diskette zu transportieren. Bitte melden Sie sich, zur Ausführung des Patches, als Administrator an - überprüfen Sie, mit Hilfe von Antwort 14 (siehe am unteren Ende der Seite), ob Ihr Rechner befallen ist.

Die Vorgehensweise des Cleaners
Folgendermaßen agiert der DoomCleaner im System:

1. Er sucht im Arbeitsspeicher nach Instanzen des Wurms und beendet diese Prozesse.

2. Er untersucht die Festplatte auf MyDoom.A/B-Dateien und löscht diese.

3. Er öffnet die Run-Schlüssel in der Windows-Registrierungsdatenbank, sucht nach dem Wurm und entfernt dessen Einträge. Einer dieser Schlüssel ist z.B.: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Auch an anderen Stellen werden Einträg gelöscht.

4. Die Komponenten, die Zugriff zum eigenen Rechner geben (Shimgapi.dll und Ctfmon.dll) werden von der Registry, der Festplatte und dem Arbeitsspeicher gelöscht. Die Datei Webcheck.dll (Zuständig für Seitenüberwachungen im Internet Explorer) wird wieder registriert - um die Änderungen zu übernehmen startet der DoomCleaner den Windows-Explorer (explorer.exe) neu.

5. Überprüft die Host-Datei unter C:\WINDOWS\system32\drivers\etc und ersetzt diese durch die Standarddatei. Eine infizierte Datei lässt die Ausführung von Seiten wie z.B. microsoft.com nicht zu.

6. Es erscheint eine Meldung über den Erfolg/Misserfolg des Tools und der Cleaner löscht sich von seinem temp. Ordner. Sie brauchen den Rechner nicht neuzustarten!

Wenn Sie den Cleaner über Start/Ausführen starten, stehen Ihnen folgende Paramter zur Verfügung:

/Q - Unterdrückt die EULA-Box

/T:PFAD - Extrahiert die Datei des Cleaners zu einem gewünschten Ort wie z.B. C:\Programme\myDoom.

/C - Extrahiert nur die Datei ohne den Cleaner auszuführen

Beispiel:

Hier wird die Datei doomcln.exe lediglich in den Ordner C:\Wurm entpackt! Wenn Sie nun auf erneut auf Start/Ausführen klicken können Sie den Pfad zu dieser Datei angeben und den Parameter /s hinzufügen. Dieser führt die Installation im Silent-Mode aus d.h. die Aktionen laufen komplett im Hintergrund ab. Eine ideale Möglichkeit den Patch auf verschiedenen PCs blitzschnell zu verteilen und auszuführen.

Wenn Sie die Installationsdatei direkt zur Extraktion und automatischen Ausführung im Silent-Mode anweisen möchten, tippen Sie folgendes als Parameter ein:

/q /c:"doomcln.exe /s"

Folgende der wichtigsten Fragen und Antworten der offiziellen KB-Artikel (Knowledge Base: 836528) habe ich Ihnen frei übersetzt:

Frage 1: Schützt mich dieser Cleaner vor zukünftigen Infektionen des Wurm?
Antwort 1: Nein, das Tool bleibt nicht auf dem System bestehen. Schützen Sie sich, indem Sie keinerlei Mail von unbekannter Quelle öffnen bzw. deren Anhänge ausführen.

Frage 2: Entfernt das Programm die Hintertürchen, die MyDoom für Angreifer geöffnet hat?
Antwort 2: Ja, aber Programme die bereits über diese Hintertürchen eingespielt wurden können nicht entfernt werden.

Frage 3: Welche anderen Namen hat der myDoom-Virus noch?
Antwort 3: MiMail.R und Novarg.A

Frage 4: Gibt es bald Versionen dieses Tools für Windows 9x/Me?
Antwort 4: Microsoft plant solche Versionen, bestätigt ist allerdings nicht.

Frage 5: Ich habe mir schon ein MyDoom-Entfernungstool meines AntiViren-Softwareherstellers heruntergeladen - brauche ich den Cleaner?
Antwort 5: Generell: Nein, denn die anderen Remover sollten den myDoom mindestens genauso entfernen. Es kann aber auch nicht schaden...

Frage 6: Sammelt das Tool Informationen und sendet es diese zu MS?
Antwort 6: Definitiv: Nein!

Frage 7: Es ist immer noch eine Datei namens Taskmon.exe im Task-Manager. Diese wurde doch auch infiziert - warum ist sie noch da?
Antwort 7: Diese ist auch gleichzeitig eine originale Systemdatei, die, nach Ausführung des DoomCleaners, nicht mehr infiziert ist.

Frage 8: Was muss ich tun, wenn der myDoom-Wurm immer noch vorhanden ist?
Antwort 8: Installieren Sie sich eine AntiViren-Software und laden Sie sich die neuesten Virendefinitionen (Updates) herunter.

Frage 9: Wird dieses Tool im SP2 enthalten sein?
Antwort 9: Nein!

Frage 10: Kann ich das Tool via SMS auf Client-Rechnern im Netzwerk verteilen?
Antwort 10: Ja, prüfen Sie vorher aber die Funktionalität auf einzelnen Rechnern.

Frage 11: Wie kann ich mich zusätzlich vor solchen Anhängen schützen?
Antwort 11: Installieren Sie sich für Ihr Outlook (Aus dem Office Paket) die aktuellsten Updates von dieser Seite - Office 2000 SP2, Office XP und Office 2003 sind standardmäßig gut geschützt; ein Update kann trotzdem sinnvoll sein. Benutzer der Versionen Outlook 2000 (Ohne SR1) und Outlook 98 finden hier passende Updates. Benutzer von Outlook Express 6 sollten sich folgende (leider englische) Seite genauer betrachten und z.B. keinerlei HTML-Mails empfangen (Nur-Text) sowie keine Dateianhänge öffnen: Using Virus Protection Features in Outlook Express 6

Frage 12: Wie kann ich, ohne das Tool (z.B. wenn ich nur Windows 9x/Me) verwende, trotzdem auf AntiViren-Seiten zugreifen?
Antwort 12: Gehen Sie folgendermaßen vor:

1. Klicken Sie auf Start/Ausführen und tippen Sie cmd ein, um die Eingabeaufforderung zu gelangen.

2. Tippen Sie hier folgende Befehle nacheinander ein:

Windows 98/Me
del c:\windows\hosts

Windows 2000/XP
del /F %systemroot%\system32\drivers\etc\hosts

echo # Temporary HOSTS file >%systemroot%\system32\drivers\etc\hosts

attrib +R %systemroot%\system32\drivers\etc\hosts

Tippen Sie nun ipconfig /flushdns ein. Mit diesen Befehlen werden die Seiten-Beschränkungen für Antivirenhersteller und Microsoft aufgelöst.

Frage 13: Mit welchen Mitteln kann ich danach (auch als 9x/Me-Benutzer) den MyDoom-Wurm entfernen?
Antwort 13: Benutzen Sie, wie erwähnt, ein aktuelles Antiviren-Programm oder laden Sie sich den alternativen Remover von Symantec herunter.

Frage 14: Wie kann ich feststellen, ob mein System von diesem Wurm befallen ist?
Antwort 14: Die MyDoom.B-Variante blockiert den Zugriff auf Virenseiten sowie Microsoft.com - Um Ihren Rechner auf Befall von MyDoom.A (auch B) zu überprüfen, geben Sie folgendes in die Eingabeaufforderung (Im Startmenü zu finden) ein:

1. cd \ - damit kommen Sie aufs Hauptlaufwerks C:\ bzw. auf das Laufwerk ihrer Windows-Installation.

2. Tippen Sie nun dir shimgapi.dll /a /s ein und warten Sie einen Moment. Wenn die Meldung Datei nicht gefunden erscheint, ist der PC nicht infiziert. Sollte allerdings etwas gefunden worden sein, so haben Sie sich den myDoom.A-Wurm eingefangen. Überprüfen Sie mit dem Befehl dir ctfmon /a /s, ob myDoom.B auf dem Rechner ist.

Ich hoffe, dass Ihnen diese Seite bei der Entfernung von myDoom helfen konnte. Bedanken möchte ich mich bei Microsoft, die diese Informationen (auf englisch) zur Verfügung stellten - diese übersetzte und erweiterte ich für Windows-Tweaks.