Titkaink után fürkészik a Mydoom féreg J változata

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím

Tárgy: a következők egyike:
. [üres]
. test
. hi
. hello
. Mail Delivery System
. Mail Transaction Failed
. Server Report
. Status
. Error

Tartalom: az alábbiakból választ egyet:
. Mail transaction failed. Partial message is available.
. The message contains Unicode characters and has been sent as a binary attachment.
. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
. test

Csatolmány: egy vagy két kiterjesztéssel (.pif, .scr, .exe, .cmd, .bat, .zip) bíró állomány, mely az alábbi nevek egyikén érkezhet:
. body
. data
. doc
. document
. file
. message
. readme
. test
. text

A féreg paraméterei

Felfedezésének ideje: 2004. április 20.
Utolsó frissítés ideje: 2004. április 21.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 50.688 byte (EXE file)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– létrehozza a SwebSipcSmtxS0 nevű mutexet
– létrehozza a taskmon.exe állományt a System könyvtárban s egy véletlenszerű adatokat tartalmazó Message nevű file-t a Temp könyvtárban; ezt megnyitja Notepaddel
– létrehoz három véletlenszerű nevet viselő .dll állományt a System mappában
– hozzáadja az Taskmon=[System elérési útvonala]/Taskmon.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– megkísérli felmásolni magát a Kazaa letöltési könyvtárába a következő nevekkel, melyekhez .exe, .scr, .pif, .cmd, .bat, .com, .zip kiterjesztés tartozhat:
. icq2004-final
. activation_crack
. strip-girl-2.0bdcom_patches
. rootkitXP
. office_crack
. nuke2004
. winamp5
– elhelyez még egy DLL file-t a System könyvtárban, amivel billentyűzet-leütést figyelő funkcióját indítja el; az így megszerzett információkat időnként elküldi alkotójának
– igyekszik leállítani a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: adb, asp, dbx, htm, php, pl, sht, tbb, txt, wab
– a fent ismertetett karakterisztikában továbbítja e-mailen magát saját SMTP motorja révén