Újra terjed a Mydoom

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím

Tárgy: a következők egyike:
– test
– hi
– hello
– Mail Delieery System
– Mail transaction Failed
– Server Report
– Status
– Error

Tartalom: egy több elemű listából választ egyet:
– test
– Mail transaction failed. Partial message is available.
– The message contains Unicode characters and has been sent as a binary attachment.
– The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Csatolmány: egy bat, cmd, com, exe, pif, scr vagy zip kiterjesztésű állomány, a file az alábbi nevek egyikén érkezhet:
– document
– readme
– doc
– body
– text
– file
– data
– test
– messge
– body

A féreg paraméterei

Felfedezésének ideje: 2004. augusztus 9.
Utolsó frissítés ideje: 2004. augusztus 10.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 17.408 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– bemásolja magát Taskmon.exe néven a System könyvtárba
– létrehozza az ideiglenes file-ok mappájában a Message állományt, amit Notepaddel meg is nyit
– létrehozza az SwebSipcSmtxS1 nevű mutexet
– létrehozza a következő két Registry kulcsot:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Version
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Version
– egy előre meghatározott weboldalról letölti a Zsdssfds.exe állományt, majd le is futtatja
– átnézi az összes meghajtót a C és az Y között, s a következő kiterjesztésű állományokban e-mailcímek után kutat: .pl, .abdh, .tbbg, .dbxn, .aspd, .phpq, .shtl, .htmb, .txt, .wab
– kigyűjti a Windows Address Bookjából is a kontaktok elérhetőségét, majd minden címre továbbítja magát saját SMTP-motorja révén