a mostani MyDoom-ot a tegnap reggeli frissitéssel az összes rendes vírusirtó ismeri és eltávolítja, ha meg ez nem lenne, egy olyan 22-25K-s csatolmányra lehet gyanakodni.
----
I-Worm.Mydoom.A
alias: W32.Novarg.A@mm,WORM_MIMAIL.R
hossz: 22528 bájt
dátum: 2004 január
elterjedtség: magas
A vírus átalában fertõzött levelek mellékleteként érkezik, a levelek melléklete a vírus, 22528 bájt hosszú, UPX tömörítõvel csomagolt program. Ezen kívül a Kazaa fájlcserélõ rendszeren keresztül is képes terjedni.
A fertõzött melléklet lefuttatásakor a vírus elõször egy véletlenszerûen összeállított, zagyva szöveget jelenít meg a Notepad szövegszerkesztõvel.
Ezután több példányban felmásoljam agát a számítógépre A Windows rendszerkönyvtárba TASKMON.EXE néven. Emellett egy backdoor komponens DLL könyvtárat is feltelepít ugyanoda SHIMGAPI.DLL néven, amely a 3127 és 3198 közötti TCP portokon keresztül fogadja a külsõ parancsokat.
A regisztrációs adatbázisban létrehozza az alábbi kulcsok valamelyike alatt
ezzel rendszerinduláskor automatikusan lefut a vírus is.
A továbbterjedéshez szükséges e-mail címeket a számítógépen talált .htm, .sht , .php, .asp, .dbx, .tbb, .adb, .pl, .wab és .txt, kiterjesztésû állományokból gyûjti össze. A leveleket a definiált SMTP kiszolgálóval közvetlenül kommunikálva küldi ki. Ha sikerül megkísérli a címzett SMTP szerverét használni, ha nem, akkor a fertõzött gépen érvényes szervert használja.
A kimenõ levelek címsora az alábbiak valamelyike:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
A levelek szövege az alábbiak valamelyike:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
A vírus meghamisítja a levél feladóját.
A levélmelléklet pedig a vírust tartalmazza, változó névvel, .bat, .exe, .pif, .cmd vagy .scr kiterjesztéssel. Esetenként ZIP archívumba csomagolva küldi ki magát.
A fájlév az alábbiak valamelyike lehet:
document
readme
doc
text
file
data
test
message
body
A Kazaa fájlcserélõ megosztott könyvtárába is bemásolja magát az alábbi fájlnevek valamelyikét használva:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
A bemásolt fájlok kiterjesztése .PIF, .BAT, .SCR vagy .EXE.
2004 február 1. és 2004. február 12 között túlterheléses támadást végez a www.sco.com weboldal ellen.
A vírus eltávolításához a létrehozott állományokat kell törölni, valamint a regisztrációs adatbázisban létrehozott bejegyzéseket kell eltávolítani.