Connect with us

technokrata

Elszabadult a hónap férge – Mydoom.M

Dotkom

Elszabadult a hónap férge – Mydoom.M

A Mydoom M változata első variánsát idéző sebességgel terjed, s számos keresőoldalt (köztük a Google-t és a Yahoo-t is) lelassította.

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím

Tárgy: a következők egyike:
– say helo to my litl friend
– click me baby, one more time
– hello
– hi
– error
– status
– test
– report
– delivery failed
– Message could not be delivered
– Mail System Error – Returned Mail
– Delivery reports about your e-mail
– Returned mail: see transcript for details
– Returned mail: Data format error

Tartalom: egy több elemű listából választ egyet

Csatolmány: egy bat, cmd, com, exe, pif vagy scr kiterjesztésű állomány, aminek második csatolmánya is lehet (doc, txt, htm, html); a file az alábbi nevek egyikén érkezhet:
– readme
– instruction
– transcript
– mail
– letter
– file
– text
– attachment
– document
– message

A féreg paraméterei

Felfedezésének ideje: 2004. július 26.
Utolsó frissítés ideje: 2004. július 27.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– létrehozza a következő begjegyzéseket a Registry-ben, melyek a féreg jelenlétére utalnak:
. HKEY_LOCAL_MACHINE/Software/Daemon
. HKEY_CURRENT_USER/Software/Daemon
– felmásolja magát a Windows mappába java.exe és services.exe néven
– hozzáadja a Services=[Windows elérési útvonala]/services.exe és a JavaVM=[Windows elérési útvonala]/java.exe bejegyzéseket a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– logolási célzattal létrehozhatja a Temporary Files könyvtárban a zincite.log és a [véletlenszerű névvel bíró file].log állományokat
– e-mailcímek után kutat olyan file-okban, melyek az alábbi kiterjesztések egyikével rendelkeznek:
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab
– kérelmeket intéz a következő internetes keresőkhöz, hogy további e-mailcímeket gyűjtsön be:
. search.lycos.com
. search.yahoo.com
. www.altavista.com
. www.google.com
– amikor a féreg talál egy nyitott Outlook ablakot, megkísérli elküldeni magát minden címre, amit begyűjtött



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek