Uredništvo: [email protected]
komentarji
| Registracija

Ime mu je Mydoom.A

torek, 27. januar 2004, ob 15:18, Franci Savenc, ogledov: 1338

Črv, ki nam danes greni delo z računalnikom - Ne odpirajte priponk, če niste sigurni, da so nedolžne! Razpošilja se z raznimi naslovi; z mojim (!) sem ga npr. dobil že dvakrat... Urednik

Ime mu je Mydoom.A


Stopnja previdnosti: Visoka
Distribucija: Visoka
Škoda: Velika
Tehnično ime: W32/Mydoom.A.worm
Stopnja nevarnosti: Visoka
Tip: Črv
Alias: I-Worm/Novarg, WORM_MIMAIL.R W32/[email protected] I-Worm/[email protected]

Aktivnost: Zažene DDoS (Distributed Denial of Service) napad na stran www.sco.com. Odpre port, preko katerega lahko napadalec nadzoruje in upravlja računalnik.
Sistem: Windows 2003/XP/2000/NT/ME/98/95
Prvič pojavljen: 27. januarja 2004

Opis: Mydoom.A je črv, ki se širi preko elektronske pošte s sporočilom, ki ima spremenljive karakteristike. Prav tako se lahko širi preko P2P programov in programa KaZaA.
Črv zažene DDoS (Distributed Denial of Service) napad na stran www.sco.com, če je sistemski čas 1. Februar 2004 ali več.

***DDoS napad je napad iz večih računalnikov z določenimi ukazi na določen računalnik ali server v istem času. S tem se računalnik ali strežnik preobremeni in nato omogoči dostop tega servisa na računalnik.
Prav tako presname datorteko SHIMGAPI.DLL, kateri odpre TCP port 3,127. S tem omogoči napadalcu oddaljen dostop do okuženega računalnika.

Vidni simptomi: Mydoom.A je lahko prepoznati, saj ob okužbi odpre Beležnico (Notepad) in prikaže razmetane podatke.

Aktivnost: Zažene DDoS (Distributed Denial of Service) napad na stran www.sco.com, če je sistemski čas med 1. in 12. Februarjem 2004.
Prav tako presname datorteko SHIMGAPI.DLL, kateri odpre TCP port 3,127 skozi port 3,198.
Ob okužbi odpre Beležnico (Notepad) in prikaže razmetane podatke.
Kreira naslednje datoteke: TASKMON.EXE (datoteka je kopija črva), SHIMGAPI.DLL. (služi za odprtje TCP porta 3,127 skozi port 3,198).
Kreira naslednje vnose v register: HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
TaskMon = %sysdir% askmon.exe
Kjer je %sysdir% Windows system direktorij.
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
TaskMon = %sysdir% taskmon.exe
HKEY_CLASSES_ROOT CLSID {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
(default) = %sysdir% SHIMGAPI.DLL
S tem vnosom z programom Internet Explorer zažene datoteko SHIMGAPI.DLL.
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer ComDlg32
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer ComDlg32 Version
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Explorer ComDlg32
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Explorer ComDlg32 Version

Način razširjanja: Razširjanje preko elektronske pošte:
Elektronsko sporočilo ima spremenljive karakteristike:
Zadeva (Subject): test; hi; hello; Mail Delivery System; Mail Transaction Failed; Server Report; Status Error
Sporočilo (Message):
Mail Transaction Failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Attachments: ime datoteke in končnice so lahko kombinacije naštetih:
Ime datoteke: DOCUMENT, README, DOC, TEXT, FILE, DATA, TEST, MESSAGE, BODY.
Končnica: PIF, SCR, EXE, CMD, BAT, ZIP.

Računalnik se okuži ob zagonu datoteke.
Mydoom.A pogleda za elektronske naslove datotekah HTM, SHT, PHP, ASP, DBX, TBB, ADB, PL, WAB and TXT.
Nato se črv s pomočjo lastnega SMTP stroja razpošlje na vse najdene naslove in naslove, ki so v Adresarju.
Črv se ne razpošlje na naslove, ki vsebujejo naslednje domene:
.gov , .mil, acketst, arin., avp, berkeley, borlan, bsd, example, fido, foo., fsf., gnu, google, gov., hotmail, iana, ibm.com, icrosof, ietf, inpris, isc.o, isi.e, kernel, linux, math, mit.e, mozilla, msn., mydomai, nodomai, panda, pgp, rfc-ed, ripe., ruslis, secur, sendmail, sopho, syma, tanford.e, unix, usenet, utgers.ed.

In besede: anyone , info, me, nobody, noone, nothing, postmaster, root, samples, someone, webmaster, you, your.
Razširjanje preko programa KaZaA:
Svojo kopijo kreira v mapo, ki jo uporablja KaZaA za skupno rabo. Datoteka ima naključno ime: WINAMP5, ICQ2004-FINAL, ACTIVATION_CRACK, STRIP-GIRL-2.0BDCOM_PATCHES, ROOTKITXP, OFFICE_CRACK, NUKE2004.
Možne končnice: PIF, SCR, BAT, EXE.
Uporabnik si nato presname to datoteko, misleč da si je presnel uporabno aplikacijo. Ob zagonu te datoteke se računalnik okuži.

Odstranitev: Izbrišite vse elektronske naslove z omenjenimi karakteristikami. Z posodobljenim antivirusnim programom preglejte celoten računalnik...
Poleg tega vam je na voljo tudi orodje PQREMOVE.COM, s katerim si lahko brezplačno pregledate računalnik. Ta program vam je na voljo tudi na našem FTP naslovu.

Več informacij o tem virusu najdete na
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?lst=vis&idvirus=44140

eXTReMe Tracker