Ismét weboldalakat tesz elérhetetlenné a Mydoom féreg

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím

Tárgy: egy hosszú listából válogat, néhány példa:
– Announcement
– Details
– Document
– Fw:Document
– Fw:Important
– Fw:Information

Tartalom: három részből áll:
I. rész: a következők egyike:
– Check the attached document.
– Daily Report.
– Details are in the attached document.
– Important Information.
– Kill the writer of this document!
– Monthly news report.
– Please answer quickly!.
– Please confirm!.
– Please read the attached file!.
– Please see the attached file for details
– Please see the attached file for details.
– Reply
– See the attached file for details
– Waiting for a Response. Please read the attachment.
– here is the document.
– your document.

II. rész: +++ Attachment: No Virus found

III. rész: a következők egyike:
– +++ Attachment: No Virus found
– +++ MessageLabs AntiVirus – www.messagelabs.com
– +++ Bitdefender AntiVirus – www.bitdefender.com
– +++ MC-Afee AntiVirus – www.mcafee.com
– +++ Kaspersky AntiVirus – www.kaspersky.com
– +++ Panda AntiVirus – www.pandasoftware.com
– +++ Norman AntiVirus – www.norman.com
– +++ F-Secure AntiVirus – www.f-secure.com
– +++ Norton AntiVirus – www.symantec.com

Csatolmány: egy kettős kiterjesztésű (.doc és .cpl, .pif vagy .scr) állomány, melynek neve rövid, egyszerű angol szavakból áll

A féreg paraméterei

Felfedezésének ideje: 2004. október 15.
Utolsó frissítés ideje: 2004. október 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 51.712 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– létrehozza a My-Game nevű mutexet, így előzve meg azt, hogy többször is betöltődjön a memóriába
– felmásolja magát a System mappába avpr.exe néven
– ugyanitt létrehozza az alábbi file-okat:
. TCP5424.dll (a féreg backdoor komponense)
. msg15.txt (nem fertőzőtt text file)
– hozzáadja az Avpr=[System elérési útvonala]/avpr.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– módosítja a HKEY_CLASSES_ROOT/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32 Registry kulcs alapértelmezett bejegyzését [System elérési útvonala]/TCP5424.dll-re; így az Explorer.exe betöltődésekor minden alkalommal a féreg backdoor rutinja is futtatásra kerül
– letörli az ICQ Net és az MsnMsgr bejegyzéseket a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsból
– a System/drivers/etc mappában található hosts állományt módosítja, mégpedig oly módon, hogy ismert antivírus termékekkel foglalkozó website-ok URL-je mellé a local loopback IP-címet (127.0.0.1) rögzíti, ezáltal böngészőből helyileg elérhetetlenné téve a webhelyeket
– letölt egy állományt a www.freewebs.com webcímről és a C meghajtó gyökerébe menti scran.exe néven; majd le is futtatja (ezt az állományt a Symantec antivírus terméke W32.Narcs-ként ismeri fel)
– e-mailcímeket gyűjt a Windows address bookjából és különböző állományokból
– saját SMTP-motorja révén (kevés kivétellel) minden begyűjtött címre elküldi magát a fent ismertetett karakterisztikában