A Mydoom legújabb, F változata a szerzői jogokat védőket támadja

A fertőzött e-mail tulajdonságai

Feladó: meghamisított címről érkezik a féreg
Tárgy: egy hosszú, előre elkészített listából válogat; néhány példa:
. [üres]
. Announcement
. Re: Thank you
. Thank you
. Re: Details
. Details
. Re: Approved
. Approved
. please read
. please reply
. Registration confirmation
. Confirmation
. Confirmation Required
. Returned Mail
. hello
. hi
Tartalom: a következők valamelyike:
. You are bad
. Take it
. Reply
. Please, reply
. Information about you
. Greetings
. See you
. Here it is
. We have received this document from your e-mail.
. Kill the writer of this document!
. Something about you
. I have your password 🙂
. You are a bad writer
. Is that yours?
. Is that from you?
. I wait for your reply.
. Here is the document.
. Read the details.
. I´m waiting
. Okay
. OK
. Everything ok?
. Check the attached document.
. The document was sent in compressed format.
. Please see the attached file for details
. See the attached file for details
. Details are in the attached document. You need Microsoft fice to open it.
Csatolmány: szintén egy előre elkészített listából válogat; néhány példa:
. photo
. resume
. image
. your_document
. approved
. creditcard
. details
. body
. message
. test
. data
. file
. text
. readme
. document
. doc
. msg
ehhez a következő kiterjesztések közül válogat: exe, scr, com, pif, bat, cmd

A féreg paraméterei

Felfedezésének ideje: 2004. február 20.
Utolsó frissítés ideje: 2004. február 23.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 34.568 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– létrehozza a jmydoat[a fertőzött számítógép neve]Xmtx nevű mutexet, ezzel akadályozandó meg a memóriába való többszöri betöltődését
– megjelenítheti az Error fejlécű hamis hibaüzenetet, melynek szövege az alábbiak közül egy:
. File is corrupted
. File cannot be opened
. Unable to open specified file
– amennyiben ezt az üzenetet nem jeleníti meg, akkor létrehozhat egy állományt a Temp könyvtárban, mely véletlenszerűen létrehozott karakterekből áll; ezt megnyitja a Notepaddel
– felmásolja magát a System könyvtárba egy véletlenszerűen generált, 4-13 karakterszámú néven, EXE kiterjesztéssel
– létrehozza a System könyvtárban a [véletlenszerűen generált karakterek].dll file-t, ami tulajdonképpen egy proxy szerver; állományok letöltésére és futtatására képes
– leállítja a következő sztringek valamelyikét tartalmazó process-eket:
. reged
. taskmo
. taskmg
. avp.
. avp32
. norton
. navapw
. navw3
. intrena
. mcafe
– létrehoz néhány ZIP állományt a Windows könyvtárban és ennek alkönyvtáraiban, véletlenszerű neveket használva
– létrehozza a [4-8 véletlenszerűen választott karakter]=[System elérési útvonala]/[a féreg file-neve] bejegyzést az alábbi kulcsokban:
. HKEY_CURRENT_USER/Software/Microsft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
– létrehozza az alábbi Registry kulcsokat:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Shell
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Shell
– leellenőrzi a helyi rendszerdátumot, ha 17-e és 22- közé esik, akkor 68%-os valószínűséggel DoS-támadást intéz a www.microsoft.com weboldala ellen, s 32%-os valószínűséggel ez a támadás a www.riaa.com weboldal ellen irányul
– a C meghajtótól a Z-ig olyan file-ok után kutat, melyek kiterjesztése az alábbi lista egyik elemével megegyezik; ezek közül véletlenszerűen letöröl néhányat: .mdb, .doc, .xls, .sav, .jpg, .avi, .bmp
– a fenti lokációkon olyan állományok után is keres, melyek az alábbi kiterjesztéssel bírnak; ezekből kiszedi az e-mail címeket (ha talál): wab, mbx, nch, mmf, ods, rtf, uin, oft, mht, vbs, msg, pl, eml, adb, tbb, dbx, asp, php, sht, htm, txt
– az ideiglenes internetes állományokból és az Outlook Address Bookjából is begyűjti az összes e-mailcímet; bizonyos domaineket azonban kihagy a listából
– saját SMTP motorja révén továbbítja magát a megszerzett címekre