Mydoom: a kiszolgáltatott rendszerre további fertőzést juttat a féregvírus

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím, melynek domainje az alábbiak közül egy lesz:
– cox.net
– yahoo.com
– msn.com
– yahoo.co.uk
– t-online.de
– gmx.net
– hotmail.com
– aol.com
– mail.com
– dailymail.co.uk

Tárgy: a következők egyike:
– You win!
– thanks!
– Thank you!
– read it immediately
– Re: Your document
– Re: Status
– Re: Question
– Re: Proof of concept
– Re: Message
– Re: Hi
– Re: Hello
– Private document
– Notice again
– News
– Information
– important
– Hi!
– here
– hello

Tartalom:
[üzenet]
+++ Attachment: No Virus found
+++ [antivírus]
ahol az [üzenet] egy számos listából kiválasztott mondat lehet, néhány példa:
– screensaverlol!
– fun photos
– New game
– relax
– Virus removal tool
– You are infected by virus. Run this exe
– apply this patch!
az [antivírus] pedig a következők egyike:
– Norton AntiVirus – www.symantec.de
– F-Secure AntiVirus – www.f-secure.com
– Norman AntiVirus – www.norman.com
– Panda AntiVirus – www.pandasoftware.com
– Kaspersky AntiVirus – www.kaspersky.com
– MC-Afee AntiVirus – www.mcafee.com
– Bitdefender AntiVirus – www.bitdefender.com
– MessageLabs AntiVirus – www.messagelabs.com

Csatolmány: egy exe, zip vagy pif kiterjesztésű állomány

A féreg paraméterei

Felfedezésének ideje: 2004. szeptember 9.
Utolsó frissítés ideje: 2004. szeptember 9.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 18.200 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– felmásolja magát winspf32.exe (S változat) vagy windrv32.exe (T változat) néven a System könytárba, rx32hh00.exe (S változat) vagy autostart.exe (T változat) névvel az aktuálisan bejelentkezett felhasználó Startup könyvtárába
– letölt, elment és lefuttat egy file-t (a Backdoor.Nemog.B trójai programot) a következő webcímek valamelyikéről:
• www.llc.unibo.it
• www.surrenderzeeland.nl
• www.mercyships.de
• www.hiw.kuleuven.ac.be
• www.ach.ch
• vugs.geog.uu.nl
• www.planetboredom.net
• guttorm.hveem.no
– hozzáadja a WinSPF=[System elérési útvonala]/winspf32.exe (vagy windrv32.exe) bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a ˝Version˝=˝FrankenShteiN˝ bejegyzést az alábbi Registry kulcsokhoz:
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/User Agent
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/User Agent
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/5.0/User Agent
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/5.0/User Agent
– hozzáadja a ˝FuckedInst˝=˝1˝ bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Explorer Registry kulcshoz, ami a Backdoor.Nemog.B fertőzésére utal
– létrehozza a ˝qwedefacedRDE˝ elnevezésű mutexet, megakadályozandó önmaga többszöri betöltődését a memóriába
– e-mailcímeket gyűjt az Outlook address bookjából és különböző file-okból; valamint a HKEY_CURRENT_USER/Software/Microsoft/WAB/WAB4/Wab File Name Registry kulcsban is kontaktok után kutat
– saját SMTP-motorja révén elküldi magát minden e-mailcímre, néhány speciális domainű, sztringű elérhetőséget kivéve