Vírusveszély! Támad a Mydoom

A Symantec a W32.Novarg.A@mm (más néven W32.Mydoom@mm) veszélyességi szintjét a veszélyforrás terjedésének sebessége, az általa okozható kár és az elterjedtsége miatt 3-ról 4-re növelte. A Symantec DeepSight veszélyelemző csoportja emellett a Symantec-hez beérkezett minták száma és a trójai által telepített hátsó ajtó rosszindulatú természete miatt az általános ThreatCon mutatót első fokozatról másodikra emelte. A Symantec ThreatCon mutató az internet biztonságának „időjárás-előrejelzéseként” funkcionál.

A Symantec Security Response a W32.Novarg.A@mm-ről hozzávetőleg olyan sűrűséggel kap mintákat, mint a 2003. augusztus 13-án felfedezett Sobig.F@mm megjelenésekor. Ma a Symantec Security Response kilenc óra leforgása alatt több mint 960 W32.Novarg.A@mm mintát kapott.

Maga a féreg nem egy távoli, külföldi felhasználókat veszélyeztető fenyegetés, szerkesztőségünkbe is már számos fertőzött e-mail érkezett, illetve érkezik. A Symantec-en kívül a Virusbuster, a Networks Associates, az F-Secure és a Panda Software is arra figyelmezteti ügyfeleit, hogy frissítsék antivírus termékeiknek adatbázisait. A Filtermax a Messagelabs jelentésére alapozva közölte, hogy a féreg megjelenése óta (melynek első példányát Oroszországban fogták el, január 26-án 13 óra 3 perckor) 27-én (magyar idő szerint) délig közel 300.000 példányt tartóztattak fel.

A fertőzött e-mail tulajdonságai

Tárgy: a következők valamelyike:
. test
. hi
. hello
. Mail Delivery System
. Mail Transaction Failed
. Server Report
. Status
. Error
Tartalom: a következők valamelyike:
. Mail transaction failed. Partial message is available.
. The message contains Unicode characters and has been sent as a binary attachment.
. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Csatolmány: az alábbi neveket használja: document, readme, doc, text, file, data, test, message, body
ehhez a következő kiterjesztések közül válogat: .htm, .txt, .doc; a második kiteresztés pedig az alábbiak közül valamelyik: .pif, .scr, .exe, .cmd, .bat, .zip

A W32.Novarg.A@mm – W32.Mydoom@mm féreg paraméterei

Felfedezésének ideje: 2004. január 26.
Utolsó frissítés ideje: 2004. január 27.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 22.528 byte
Fertőzések száma: több mint 1000
Földrajzi elterjedtsége: közepes
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

További részletek

A W32.Novarg.A@mm egy titkosított tömeglevélküldő féreg, amely megnyitás után taskmon.exe néven a rendszerkönyvtárba másolja magát, és a 3127-3198 közé eső TCP-portok mindegyikén figyel. Ez módot ad arra, hogy a hackerek esetleg további, a megfertőzött rendszeren futtatandó file-okat küldjenek. A féreg a .htm, .sht., .php, .asp, .dbx, .tbb, .adb., .pl, .wab és .txt kiterjesztésű állományokban talált címekre történő küldi tovább önmagát. Az .edu végződésű címeket figyelmen kívül hagyja.

A féreg 2004. február 1. és 12. között a www.sco.com elleni, szolgáltatást lehetetlené tevő támadással is próbálkozik. A féreg 64 szálat hoz létre, melyek mindegyike HTTP „GET” kérelmet indít az SCO webhelye ellen. Az SCO kis- és közepes vállalatok, valamint kirendeltségek számára készít szoftvereket.

A fertőzöttség biztos tünete, ha a Notepad ˝magától˝ megnyílik a rendszeren, s értelmetlen karakterhalmazt látunk benne.