Még több kártevőt hoz a gépünkre a Mydoom féregvírus

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím, melynek domainje az alábbiak közül egy lesz:
– cox.net
– yahoo.com
– msn.com
– yahoo.co.uk
– t-online.de
– gmx.net
– hotmail.com
– aol.com
– mail.com
– dailymail.co.uk

Tárgy: a következők egyike:
– FW: remember me?..
– FW: hi
– FW: hello sweety :>
– FW: my photos
– FW: that´s me 😀
– FW: (no subject)
– FW: it´s me
– FW: hi, it´s me
– FW: 2 new photos
– FW: new photos
– FW: jenna´s photos 🙂

Tartalom:
[üzenet]
+++ Attachment: No Virus found
+++ [antivírus]
ahol az [üzenet] egy számos listából kiválasztott rövid szöveg lehet, néhány példa:
—–Original Message—–
From: Jeny K.
Sent: Tuesday, September 7, 2004 8:57 PM
To: Morpheus
check my new photos
:))
miss you, jeny k
—–Original Message—–
From: Jena K.
Sent: Tuesday, September 7, 2004 5:23 AM
To: friends
Check Out Archive.. So.. What Do You Think… Am I Hot? 🙂
Waining For Your Answer
Jena Key
—–Original Message—–
From: jenny k.
Sent: Tuesday, September 7, 2004 10:23 AM
To: My Tiger (e-mail)
new fotos(archived) you asked
jenny k

az [antivírus] pedig a következők egyike:
– Norton AntiVirus – www.symantec.de
– F-Secure AntiVirus – www.f-secure.com
– Norman AntiVirus – www.norman.com
– Panda AntiVirus – www.pandasoftware.com
– Kaspersky AntiVirus – www.kaspersky.com
– MC-Afee AntiVirus – www.mcafee.com
– Bitdefender AntiVirus – www.bitdefender.com
– MessageLabs AntiVirus – www.messagelabs.com

Csatolmány: egy exe, safe, zip vagy pif kiterjesztésű állomány

A féreg paraméterei

Felfedezésének ideje: 2004. szeptember 10.
Utolsó frissítés ideje: 2004. szeptember 11.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 18.432 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– felmásolja magát WIN32S.EXE néven a System könytárba, AUTORUN.EXE névvel az aktuálisan bejelentkezett felhasználó Startup könyvtárába
– letölt, elment és lefuttat két file-t (a Backdoor.Nemog.B trójai programot és a W32.Sykel férget) a következő webcímek valamelyikéről:
. masteratwork.com
. professionals-active.com
. il-legno.it
. 64.40.98.94
. 69.93.58.116
. mercyships.de
– hozzáadja a Win32System=[System elérési útvonala]/win32s.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza a ˝LLLf54fxrDLLL˝ elnevezésű mutexet, megakadályozandó önmaga többszöri betöltődését a memóriába
– e-mailcímeket gyűjt a Windows address bookjából és különböző file-okból
– saját SMTP-motorja révén elküldi magát minden e-mailcímre, néhány speciális domainnel vagy sztringgel bíró elérhetőséget kivéve