Connect with us

technokrata

Még mindig Mydoom: a férgen élősködik egy másik digitális kártevő

Dotkom

Még mindig Mydoom: a férgen élősködik egy másik digitális kártevő

A Doomjuice nevű féreg a Mydoommal fertőzött számítógépeken képes terjedni, kihasználva ez utóbbi backdoor képességeit.

A féreg paraméterei

Felfedezésének ideje: 2004. február 9.
Utolsó frissítés ideje: 2004. február 9.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 36.864 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a sync-Z-mtx_133 mutexet, amivel megakadályozza, hogy egyszerre többször is betöltődjön a memóriába
– felmásolja magát a System könyvtárba intrenat.exe névvel
– hozzáadja a Gremlin = [System elérési útvonala]/intrenat.exe bejegyzést a következő Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– létrehozza a sync-src-1.00.tbz (28.569 byte) állományt, melyet felmásol a Windows, a System, az ideiglenes file-okat és a felhasználói profilt tartalmazó könyvtárakba illetve az összes merevlemez gyökérkönyvtárába; az állomány TAR formátumban tartalmazza a W32.Mydoom.A@mm forráskódját
– a 3127-es TCP porton kísérel meg csatlakozni távoli számítógépekhez, melyet a Mydoom A változatának backdoor komponense nyitott meg; tulajdonképpen így terjed a féreg, mely felmásolódik a távoli számítógépre, ahol a Mydoom lefuttatja
– DoS-támadást intéz a www.microsoft.com URL ellen HTTP Get kérelmek küldésével



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek