A Mydoom féreg új változata terjed

A fertőzött e-mail tulajdonságai

Feladó: “természetesen” meg van hamisítva; hétköznapi angolszász nevekből állítja össze, melyet a következő domainek egyike követ:
– compuserve.com
– juno.com
– earthlink.net
– yahoo.co.uk
– hotmail.com
– yahoo.com
– msn.com
– aol.com

Tárgy: a következők közül egy:
– Attention!!!
– Do not reply to this email
– Error
– Good day
– hello
– Mail Delivery System
– Mail Transaction Failed
– Server Report
– Status

Tartalom: egy előre elkészített listából választ, néhány példa:
– The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
– Mail transaction failed. Partial message is available.
– Here are your documents you are requested.
– Thank you for registering at WORLDXXXPASS.COM
All your payment info, login and password you can find in the attachment file.
It´s a real good choise to go to WORLDXXXPASS.COM
– Attention! New self-spreading virus!
Be careful, a new self-spreading virus called “RTSW.Smash” spreading very fast via e-mail and P2P networks. It´s about two million people infected and it will be more.
To avoid your infection by this virus and to stop it we provide you with full information how to protect yourself against it and also including free remover. Your can find it in the attachment.
c 2004 Networks Associates Technology, Inc. All Rights Reserved

Csatolmány név: a következők valamelyike:
– body
– message
– docs
– data
– file
– rules
– doc
– readme
– document

Csatolmány kiterjesztés: egyike a következőknek: .bat, .cmd, .exe, .scr, .pif, .zip

A féreg paraméterei

Felfedezésének ideje: 2005. január 16.
Utolsó frissítés ideje: 2005. január 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 31.744 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– bemásolja a következő állományokat a System könyvtárba:
. lsasrv.exe – a féreg egy másolata
. version.ini – ártalmatlan text file
. hserv.sys – ártalmatlan bináris állomány
– hozzáadja az lsass=[System elérési útvonala]/lsasrv.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz; illetve a Shell=explorer.exe [System elérési útvonala]/lsasrv.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon kulcshoz
– létrehoz egy szöveges file-t – Mes#wtelw.txt – a felhasználó ideiglenes állományokat tartalmazó könyvtárában, mely értelmetlen adatokat tartalmaz; ezt a file-t nyitja meg aztán a Notepad révén a felhasználó számára
– e-mailcímeket gyűjt a Windows address bookjából és különböző, a rendszeren található állományokból
– saját SMTP-szervere révén továbbítja magát a megszerzett címekre (néhány kivétellel)
– felmásolja magát a rendszerre telepített file-megosztó alkalmazások megosztott könyvtárába bat, pif, scr vagy exe kiterjesztéssel, s az alábbi nevekkel:
. porno
. NeroBROM6.3.1.27
. avpprokey
. Ad-awareref01R349
. winxp_patch
. adultpasswds
. dcom_patches
. K-LiteCodecPack2.34a
. activation_crack
. icq2004-final
. winamp5
– megkísérli leállítani a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– letölti a com.txt állományt vagy a nermasteno.com vagy az opsanted.com webcímről, mely egy 91 byte-os bináris file
– a hosts file módosításával elérhetetlenné tesz számos antivírus termékekkel foglalkozó oldalt