Többszörösen fertőz a Mydoom új verziója

A fertőzött levél tulajdonságai

Feladó: hamis e-mailcím

Tárgy: néhány példa:
– Secret message
– For your eyes only!
– Look who´s naked =)
– Is it your girl?
– My girl, for your eyes only
– Office jokes /-))
– Whoah! Very/-very big thing! Take a look!
– Your friend lying to you..
– Find yourself on picture :/-D
– Party photos

Tartalom: üres, vagy a következők valamelyike:
– Remember me?
– Hi, [név az e-mailcímből] has sent you an christmas postcard.
– Merry X/-Mas!
– Happy New Year!
– Postcard for you
– New Year Postcard from your friend
– New Year Postcard from [név az e-mailcímből]
– Happy holidays! 😉
– You´re only moments away from viewing your Doozy CARDtoon.
Simply click on the ˝Get Macromedia Flash Player˝
graphic to the left.It´s a cinch to install!Once you´ve
finished, click HERE to view your CARDToon.
If you need any help, we´re just an email away.
Sincerely,
The Doozy Team

Csatolmány: néhány példa:
– [név az e-mailcímből]_joke.jpg[sok szóköz].pif
– [név az e-mailcímből]_nude.pif
– [név az e-mailcímből]_with_flowers.jpg[sok szóköz].pif
– christmasscreenfrom.scr
– document.jpg[sok szóköz].pif
– ePostCard[véletlenszerű név].jpg[sok szóköz].cpl
– flash x/-mas game.exe
– flashepostcard.exe
– fotos.zip
– images.zip

A féreg paraméterei

Felfedezésének ideje: 2005. január 28.
Utolsó frissítés ideje: 2005. január 30.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 61.385 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– bemásolja magát a Windows könyvtárba services.exe néven
– létrehoz egy NetBios Ext32 nevű service-t, ami a fenti állományra mutat
– létrehozza a HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/NetBios Ext32 Registry-bejegyzést, ezzel bírva rá a rendszert, hogy minden bootolás során betöltse a férget a memóriába
– hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer Registry kulcshoz a következő két bejegyzést:
. Mshdfgq=[hexadecimális érték]
. Terjt=[hexadecimális érték]
– hozzáadja a DisableRegistryTools=0 bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies és a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/policies Registry kulcshoz, így tiltva le a fertőzött rendszeren a Registry editor használatát
– megpróbálja különböző weboldalakról letölteni a Backdoor.Nemog.D nevű trójai programot; ha sikerrel jár, le is futtatja az így beszerzett állományt
– a Windows Address Bookjában és bizonyos állományokban e-mailcímek után kutat, valamint ugyanilyen célból felkeresi a www.google.com és a www.accoona.com domaineket is
– saját SMTP-motorja révén továbbítja magát az így megszerzett címekre
– a hosts állomány felülírásával számos website-ot elérhetetlenné tesz a fertőzött számítógépen