Újabb Mydoom variáns terjed

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím

Tárgy: egy hosszú listából válogat, néhány példa:
– Attention!!!
– Do not reply to this email
– Error
– Good day
– hello
– Mail Delivery System
– Mail Transaction Failed
– Server Report
– Status

Tartalom: több, előre elkészített szövegből válogat, néhány példa:
The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Mail transaction failed. Partial message is available.

Thank you for registering at WORLDXXXPASS.COM
All your payment info, login and password you can find in the attachment file.
It´s a real good choise to go to WORLDXXXPASS.COM

Csatolmány: .bat, .cmd, .exe, .pif, .scr vagy .zip kiterjesztésű állomány, melynek neve a következők egyike:
– body
– message
– docs
– data
– file
– rules
– doc
– readme
– document

A féreg paraméterei

Felfedezésének ideje: 2004. október 25.
Utolsó frissítés ideje: 2004. október 26.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 31.864 byte (.zip), 31.744 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– létrehozza a System mappában az lsasrv.exe és a version.ini file-okat, illetve a futtatás könyvtárában a hserv.sys-t
– hozzáadja az lsass=[System elérési útvonala]/lsasrv.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– módosítja a HKEY_LOCAL_MACHINE/Software/Mirosoft/Windows NT/CurrentVersion/Winlogon Registry kulcs Shell bejegyzést a következőre: Shell=explorer.exe [System elérési útvonala]/lsasrv.exe
– e-mailcímek után kutat a .wab, .pl, .adb, .tbb, .dbx, .asp, .php, .sht, .htm, .txt kiterjesztésű file-okban
– saját SMTP-motorja révén (kevés kivétellel) minden begyűjtött címre elküldi magát a fent ismertetett karakterisztikában
– felmásolja magát a Kazaa, Morpheus, iMesh, eDonkey, Limeware file-megosztó alkalmazások shared mappáiba, ha azok megtalálhatók a rendszeren; bat, pif, scr vagy exe kiterjesztést kaphatnak ezek az állományok, neveik pedig a következők lehetnek:
. porno
. NeroBROM6.3.1.27
. avpprokey
. Ad-awareref01R349
. winxp_patch
. adultpasswds
. dcom_patches
. K-LiteCodecPack2.34a
. activation_crack
. icq2004-final
. winamp5
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– a wmspb.net URL-ről letölt egy file-t
– a System/drivers/etc mappában található hosts állományt módosítja, mégpedig oly módon, hogy ismert antivírus termékekkel foglalkozó website-ok URL-je mellé a local loopback IP-címet (127.0.0.1) rögzíti, ezáltal böngészőből helyileg elérhetetlenné téve a webhelyeket