Mydoomot eltávolító, ˝jóságos˝ féregvírus

A féreg paraméterei

Felfedezésének ideje: 2004. február 6.
Utolsó frissítés ideje: 2004. február 7.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 55 Kbyte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjeleníthet egy ablakot, melyben a Corrupted File, Error executing program! szöveg tárul a felhasználó elé
– bemásolja magát a System könyvtárba sms.exe néven
– hozzáadja KernelFaultChk=[System elérési útvonala]/sms.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– megkeresi a rendszerre esetlegesen telepített Soulseek file-cserélő alkalmazást, és felmásolja magát annak megosztott könyvtárába; ehhez a következő file-nevek egyikét használja:
. Windows2003Keygen.exe
. mIRC.v6.12.Keygen.exe
. Norton.All.Products.KeyMkr.exe
. F-Secure.Antivirus.Keymkr.exe
. FlashFXP.v2.1.FINAL.Crack.exe
. SecureCRTPatch.exe
. TweakXPProKeyGenerator.exe
. FRUITYLOOPS.SPYWIRE.FIX.EXE
. ALL.SERIALS.COLLECTION.2003-2004.EXE
. WinRescue.XP.v1.08.14.exe
. GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe
. BlindWrite.Suite.v4.5.2.Serial.Generator.exe
. Serv-U.allversions.keymaker.exe
. WinZip.exe
. WinRar.exe
. WinAmp5.Crack.exe
– a 2766-os TCP porton hallgatózik bejövő csatlakozásokra várva
– képes a rendszerre telepített behatolás- és vírusvédelmi szoftverek futó processeinek leállítására
– megkísérli leállítani azon futó process-eket, melyek a Mydoom féreggel vannak kapcsolatban
– megkísérli a Mydoom féreg eltávolítását a következő Registry kulcsok törlésével:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/TaskMon
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/Explorer
. HKEY_CURRENT_USER/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/ InprocServer32
. HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InprocServer32
– a hálózaton fertőzött számítógépek után keres; véletlenszerűen generált IP-címeken, illetve a 3127-es, a 3128-as és a 1080-as portokon keresztül; ha sikerült csatlakoznia, elküldi és elindítja saját maga másolatát a Mydommal fertőzött számítógépen