Connect with us

technokrata

Újabb variáns a Mydoom féregvírusból

Dotkom

Újabb variáns a Mydoom féregvírusból

Ismét terjedésnek indult a Mydoom féreg, ezúttal már az L változat fenyegeti az internetezőket.

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím

Tárgy: a következők egyike:
– say helo to my litl friend
– click me baby, one more time
– hello
– hi
– error
– status
– test
– report
– delivery failed
– Message could not be delivered
– Mail System Error – Returned Mail
– Delivery reports about your e-mail
– Returned mail: see transcript for details
– Returned mail: Data format error

Tartalom: egy több elemű listából választ egyet, néhány példa:
– The original message was included as attachment
– Message could not be delivered
– This Message was undeliverable due to the following reason:

Csatolmány: egy bat, cmd, com, exe, pif vagy scr kiterjesztésű állomány, mely az alábbi nevek egyikén érkezhet:
– attachment
– document
– file
– letter
– mail
– message
– readme
– text
– transcript

A féreg paraméterei

Felfedezésének ideje: 2004. július 19.
Utolsó frissítés ideje: 2004. július 20.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 21.000 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– bemásolja magát lsass.exe néven a Windows könyvtárba
– létrehoz egy véletlenszerű nevet viselő .txt állományt logolási célokra a Temporary mappában
– hozzáadja a Traybar=[Windows elérési útvonala]/lsass.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/POSIX kulcsot
– megkísérli felmásolni magát minden olyan könyvtárba, ami tartalmazza a incoming, ftproot, download, shar sztringek legalább egyikét a következő nevekkel, melyekhez exe, com, ShareReactor.com, scr kiterjesztés tartozhat:
. index
. Kazaa Lite
. Harry Potter
. ICQ 4 Lite
. WinRAR.v.3.2.and.key
. Winamp 5.0 (en) Crack
. Winamp 5.0 (en)
– megnyitja a 1042-es TCP portot
– e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: doc, txt, htm, html
– a fent ismertetett karakterisztikában továbbítja e-mailen magát saját SMTP-motorja révén; kivéve bizonyos sztringeket tartalmazó címeket, néhány példa:
. .gov
. .mil
. abus
. accoun
. admi
. anyone
. arin.
. avp
. bar.
. bug
. contact
. crosoft
. domain
. example
. feste
. foo.
. gmail



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek