Tovább mutálódott a Mydoom féreg

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím, melyben a következő nevek jelenhetnek meg, változó domainnevek mellett:
– Postmaster
– Mail Administrator
– Automatic Email Delivery Software
– Post Office
– The Post Office
– Bounced mail
– Returned mail
– MAILER-DAEMON
– Mail Delivery Subsystem

Tárgy: a következő közül egy:
– hello
– hi
– error
– status
– test
– report
– delivery failed
– Message could not be delivered
– Mail System Error – Returned Mail
– Delivery reports about your e-mail
– Returned mail: see transcript for details
– Returned mail: Data format error delivered

Tartalom: a levél tartalma változatos lehet, de mindegyik arról igyekszik meggyőzni az olvasót, hogy az e-mail egy korábban kiküldött, ám valamilyen okból visszapattant üzenet

Csatolmány: egy .bat, .cmd, .com, .exe, .pif, .scr, .zip kiterjesztéssel rendelkező állomány, melynek neve a következők valamelyike lehet:
– ATTACHMENT
– DOCUMENT
– FILE
– INSTRUCTION
– LETTER
– MAIL
– MESSAGE
– README
– TEXT
– TRANSCRIPT

Megjegyzés: a csatolmánynak lehet egy második kiterjesztése (doc, txt, htm, html)

A féreg paraméterei

Felfedezésének ideje: 2005. február 21.
Utolsó frissítés ideje: 2005. február 22.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 26.010 byte (BA változat), 41.024 byte (BB változat)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza a java.exe és a services.exe állományokat a Windows könyvtárában (ez utóbbi a Backdoor.Zincite.A trójai program); illetve a zincite.log (kódolt file) és a [véletlenszerűen létrehozott file-név].log állományokat
– hozzáadja a JavaVM=[Windows elérési útvonala]/java.exe és a Services=[Windows elérési útvonala]/services.exe bejegyzéseket a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a Windows Address Bookból és a következő kiterjesztéssel bíró állományokból kigyűjti az e-mailcímeket: .pl*, .ph*, .tx*, .ht*, .asp, .sht, .adb, .db, .wab
– további címek után vadászik a következő onlin keresőmotorok révén: search.yahoo.com, search.lycos.com, www.altavista.com, www.google.com
– letölt egy file-t a következő webhelyek egyikéről, melyet a víruskereső alkalmazások a Backdoor.Nemog.D nevű trójai programnak azonosítanak be:
. www.newgenerationcomics.net
. www.eastcoastchoons.co.uk
. www.foxalpha.com
. www.sundayriders.co.uk
– saját SMTP-motorja révén továbbítja magát a megszerzett e-mailcímekre (néhány kivétellel)
– a BA változat a 1132-es TCP porton keresztül hátsó kaput nyit a rendszeren