Új, gyorsan terjedő féreg: Mydoom ( Frissítve! )

A CA kutató laboratóriuma majdnem egy időben kapott 11 példányt az új féregből, ami arra utal, hogy gyorsan terjedő fertőzéssel állunk szemben, közölte a cég szóvivője. A NAI McAfee AVERT laboratóriuma szintén már elemzi a vírust, ami a jelek szerint „magas kockázatúnak” tűnik, de bővebb információval egyelőre nem tudtak szolgálni.

A Virus Bustertől reggel kapott információk szerint a Mydoom.A e-mail üzenetek mellékleteként küldi magát a fertőzött számítógépről gyűjtött e-mail címekre. A levelek melléklete a 22528 bájtos vírus, véletlen fájlnévvel, .exe, .pif, .cmd vagy .scr kiterjesztéssel. Gyakran ZIP archívumként csatolja magát. A vírus a fertőzött számítógépre egy backdoor komponenst is feltelepít.


* * * Újabb információk * * *

A [Vírus Híradó] portál jóvoltából tovább bővültek az ismereteink:

2004. január 26-ról 27-re virradó éjszaka felfedezett új Mydoom féreg
célja a Linux elpusztítására törekvő SCO cég webhelyének totális
lebénítása, erre az elosztott szolgáltatás-megtagadás típusú (DDoS)
támadásra 2004. február 1-ével kezdődően kerülne sor. Ezután a féreg
terjedése 2004. február 12-én automatikusan befejeződik.

Levélben terjedés:
A féreg átkutatja a fertőzött gépen található fájlok egy részét, a
továbbterjedéshez használható e-mail címek után kutatva. Képes
felismerni a spam elleni egyszerűbb trükkök egy részét, így például az "@" jel helyett alkalmazott at rövidítést is értelmezni tudja. A MyDoom által vizsgált fájlkiterjesztések listája a következő:
adb, asp, dbx, htm, php, pl, sht, tbb, txt.

A féreg által küldött elektronikus levelek felépítése a következő:

A levelek tárgya az alábbiak bármelyike lehet: test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

Levéltörzs: test

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

The message contains Unicode characters and has been sent
as a binary attachment.

Mail transaction failed. Partial message is available.

A fájlmellékletek nevét az alábbi modulokból állítja össze: document

readme

doc

text

file

data

test

message

body

A lehetséges kiterjesztések köre a következő: bat, cmd, exe, pif, scr

Terjedés P2P fájlmegosztó hálózaton keresztül:
A féreg a Windows registry-ből megállapítja, hogy van-e a gépen Kazaa
fájlcserélő kliens szoftver, majd annak megosztott könyvtárába másolja
magát az alábbi lehetséges fájlnevek valamelyikével:

activation_crack

icq2004-final

nuke2004

office_crack

rootkitXP

strip-girl-2.0bdcom_patches

winamp5

Fájlkiterjsztések: .bat, .exe, .pif, .scr

Pusztító rutin:
Ha a fertőzött gépet 2004. február 1. után újraindítják, a féreg másodpercenként egyszer megkísérli lekérni az SCO.COM webhely tartalmát egy egyszerű "GET / HTTP/1.1" kéréssel, abból a célból, hogy a kiszolgálót túlterhelje.