Újra felbukkant a Mydoom

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím

Tárgy: a következők egyike:
– értelmezhetetlen karakterhalmaz
– üres
– document
– Error
– hello
– hi
– Information
– Mail Delivery System
– Mail Transaction Failed
– message
– RE:my …..
– RE:test
– readme
– Server Report
– Status
– test

Tartalom: egy több elemű listából választ egyet:
– !!!!!!!!!!!, check the attachment!!!.
– (Norton Anti Virus : No Virusses Found , Check The Attachment For More Information.
– (Norton ANti Virus,Panda,Mcafee No Virusses Found).
– Check the attachment for more information!.
– check the attachment to get the lastest news.
– check.
– come back my friend.
– error , sorry we can´t send the email so check the attachment.
– error to send the mail!!!!!.
– error, check the attachment for more information.
– failed to send the email!, check the attachment for more information.
– failed,check the attachment for more information.
– hello 🙂
– hello check the attachment thx.
– hello.
– here is what you need,thx.
– loooooool ;)))
– Mail transaction failed. Partial message is available.
– sorry we can´t send the mail try later , check the attachment for more information.
– the attachment for more information.
– Try Later, Check the Attachment.
– you can check the attachment for more information.
– your attachment , thx.

Csatolmány: egy bat, com, exe, doc, htm, scr, tmp vagy txt kiterjesztésű állomány, a file az alábbi nevek egyikén érkezhet:
– document
– readme
– doc
– body
– text
– file
– data
– test
– messge
– body

A féreg paraméterei

Felfedezésének ideje: 2004. szeptember 3.
Utolsó frissítés ideje: 2004. szeptember 4.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 37.888 byte, 8.192 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– bemásolja magát tasker.exe néven a System könyvtárba
– ugyanitt létrehozza a 8.192 byte hosszú Nemog.dll file-t
– létrehozza az ideiglenes file-ok mappájában a Message állományt, amit Notepaddel meg is nyit
– létrehozza az EnD-Of-SkyNet nevű mutexet
– hozzáadja a Task=[System elérési útvonala]/tasker.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InprocServer32 kulcs alapértelmezett értékét [System elérési útvonala]/Nemog.dll-re változtatja
– létrehozza a következő két Registry kulcsot:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Version
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Version
– megnyitja a 5422-es TCP portot, lehetővé a támadó számára, hogy az behatolhasson a rendszerbe
– bemásolja magát a Kazaa megosztott könyvtárába a következő nevek egyikén:
. cleaner
. crack
. Fixtool
. Hotmail hacker
. mydoom
. netsky
. ps2 emulator
. SoBig
. Upload
. Vahos
. Viraus
. Wenrar
. Winzip
. xbox emulator
. XXX Pictures
. XXX Videos
. yahoo hacker
– átnézi az összes meghajtót a C és az Y között, s a következő kiterjesztésű állományokban e-mailcímek után kutat: .pl, .abdh, .tbbg, .dbxn, .aspd, .phpq, .shtl, .htmb, .txt, .wab
– kigyűjti a Windows Address Bookjából is a kontaktok elérhetőségét, majd megkísérli meghatározni a mailszerver elérhetőségét
– minden megszerzett címre továbbítja magát, néhány kivételes domain nevűtől eltekintve