Connect with us

technokrata

Új Mydoom variáns terjed

Dotkom

Új Mydoom variáns terjed

2004. augusztus 16-án, Budapesti idő szerint 7:43-kor a Canon System Solutions (a NOD32 Antivirus System képviselete Japánban) egy rohamosan terjedő, új Mydoom variánsra hívta fel a figyelmet.

Az új Mydoom (a NOD32 elnevezése szerint Win32/Mydoom.T) e-mailben terjed, meghamisított feladóval. A tárgy: ˝photos˝, a levél törzse: ˝LOL!;)))) ˝, a levél csatolmánya egy ˝photos_arc.exe˝ nevű, UPX-szel tömörített, 27.136 byte hosszú futtatható file.

Ha valaki rákattint a csatolmányra és ezáltal futtatja azt, a féreg a Windows könyvtárába rasor38a.dll néven, a System könyvtárba winpsd néven másolja be magát, majd létrehozza a rendszerindításkor való betöltődéshez szükséges kulcsot a regisztrációs adatbázisban (HKCUSoftwareMicrosoftWindowsCurrentVersionRun illetve HKLMSoftwareMicrosoftWindowsCurrentVersionRun néven).

A Win32/Mydoom.T féreg egy backdoort is tartalmaz, mely proxy-ként képes működni, valamint néhány antivírus program működését is leállítja.

A Mydoom.T férget a NOD32 képes a kiterjesztett heurisztikus keresőmotorjának segítségével is felismerni, név szerint az 1.843-as adatbázistól fölfelé tudja azonosítani a kártevőt. A Mydoom.T féreg 2004. augusztus 20-án, este 9:11:11-kor függeszti fel tevékenységét.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek