A Symantecet támadja a Mydoom G változata

A fertőzött e-mail tulajdonságai

A Mydoom G változatával fertőzött levél feladója természetesen hamis; s a tárgy, a törzs és a csatolmány neve is széles skálán mozoghat. Támpontot ez utóbbi kiterjesztése jelenthet – a következők valamelyikét találhatjuk a vírusos file végén: exe, scr, com, pif, bat, cmd.

A féreg paraméterei

Felfedezésének ideje: 2004. március 2.
Utolsó frissítés ideje: 2004. március 2.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 20 Kbyte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– létrehozza a [fertőzött számítógép egy funkciójának neve]theta nevű mutexet, ezzel akadályozandó meg a memóriába való többszöri betöltődését
– létrehozhat egy állományt a Temp könyvtárban, mely véletlenszerűen létrehozott karakterekből áll; ezt megnyitja a Notepaddel
– felmásolja magát a System könyvtárba egy véletlenszerűen generált néven, EXE kiterjesztéssel
– létrehozza a System könyvtárban a [véletlenszerűen generált karakterek].dll file-t, ami tulajdonképpen egy proxy szerver; állományok letöltésére és futtatására képes
– a 80-as és a 1080-as TCP porton hallgatózik (DLL komponensét felhasználva); így le tud tölteni és futtatni külső állományokat is
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit, illetve néhány féreggel kapcsolatos process terminálására is képes
– létrehoz néhány ZIP és EXE állományt a C-Z meghajtók véletlenszerűen kiválasztott könyvtáraiban, véletlenszerű neveket használva
– létrehozza a [véletlenszerűen válogatott karakterek]=[System elérési útvonala]/[a féreg file-neve] bejegyzést az alábbi kulcsokban:
. HKEY_CURRENT_USER/Software/Microsft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
– DoS támadást intéz a www.symantec.com weboldal ellen: létrehoz valamennyi végrehajtási szálat, majd direkt kapcsolaton, a 80-as porton keresztül GET kérelmeket küld a domainnek
– a C meghajtótól a Z-ig olyan állományok után keres, melyek az alábbi kiterjesztéssel bírnak; ezekből kiszedi az e-mail címeket (ha talál): wab, mbx, nch, mmf, ods, rtf, uin, oft, mht, vbs, msg, pl, eml, adb, tbb, dbx, asp, php, sht, htm, txt; illetve az inbox sztringet tartalmazó állományokat is ide kell sorolni
– az ideiglenes internetes állományokból és az Outlook Address Bookjából is begyűjti az összes e-mailcímet; bizonyos domaineket azonban kihagy a listából
– saját SMTP motorja révén továbbítja magát a megszerzett címekre