Dotkom
A sokadik Mydoom variáns fertőz
Ismét egy újabb változata terjed a Mydoom féregnek.
A fertőzött levél tulajdonságai
Feladó: hamis e-mailcím
Tárgy: az alábbiak egyike:
– Attention!!!
– Do not reply to this email
– Error
– Good day
– hello
– Mail Delivery System
– Mail Transaction Failed
– Server Report
– Status
Tartalom: néhány példa:
– The message contains Unicode characters and has been sent as a binary attachment.
– The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
– Mail transaction failed. Partial message is available.
– Thank you for registering at WORLDXXXPASS.COM
All your payment info, login and password you can find in the attachment file.
It´s a real good choise to go to WORLDXXXPASS.COM
Csatolmány név: valamelyik a következők közül:
– body
– message
– docs
– data
– file
– rules
– doc
– readme
– document
Csatolmány kiterjesztés: a következők közül válogat: .bat, .cmd, .exe, .pif, .scr, .zip
A féreg paraméterei
Felfedezésének ideje: 2005. január 24.
Utolsó frissítés ideje: 2005. január 25.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 32.768 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz
Aktiválódása esetén lezajló események
– létrehozza az lsasrv.exe és a version.ini állományokat a System mappában, illetve a hserv.sys file-t
– hozzáadja az lsass=[System elérési útvonala]/lsasrv.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– hozzáadja a Shell=explorer.exe [System elérési útvonala]/lsasrv.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon kulcshoz
– létrehozza az ideiglenes file-ok mappájában a Mes#wtelw.txt állományt, mely csak értelmetlen adatokat tartalmaz; ezt megjeleníti a Notepad révén a fertőzött számítógépen
– a Windows Address Bookjából és bizonyos állományokból e-mailcímek után kutat
– saját SMTP-motorja révén továbbítja magát az így megszerzett címekre
– amennyiben léteznek, felmásolja magát a Kazaa, Morpheus, iMesh, eDonkey és LimeWire megosztási könyvtáraiba, az alábbi nevek valamelyikén (bat, pif, scr vagy exe kiterjesztéssel):
. porno
. NeroBROM6.3.1.27
. avpprokey
. Ad-awareref01R349
. winxp_patch
. adultpasswds
. dcom_patches
. K-LiteCodecPack2.34a
. activation_crack
. icq2004-final
. winamp5
– megkísérli leállítani a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– a hosts állomány felülírásával számos website-ot elérhetetlenné tesz a fertőzött számítógépen
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2005/01/26/a-sokadik-mydoom-varians-fertoz/" width="800" count="off" num="3" countmsg=""]
