Már terjed a Mydoom új variánsa

A fertőzött e-mail tulajdonságai

Feladó: meghamisított címről érkezik a féreg
Tárgy: a következők valamelyike:
. Returned mail
. Delivery Error
. Status
. Server Report
. Mail Transaction Failed
. Mail Delivery System
. hello
. hi
Tartalom: a következők valamelyike:
. sendmail daemon reported:
. Error #804 occured during SMTP session. Partial message has been received.
. Mail transaction failed. Partial message is available.
. The message contains Unicode characters and has been sent as a binary attachment.
. The message contains MIME-encoded graphics and has been sent as a binary attachment.
. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Csatolmány: az alábbi neveket használja: document, readme, doc, text, file, data, test, message, body
ehhez a következő kiterjesztések közül válogat: .htm, .txt, .doc; a második kiteresztés pedig az alábbiak közül valamelyik: .pif, .scr, .exe, .cmd, .bat, .zip

A féreg paraméterei

Felfedezésének ideje: 2004. január 28.
Utolsó frissítés ideje: 2004. január 28.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 29.184 byte, 6.144 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– létrehozza a System könyvtárban a Ctfmon.dll (ami tulajdonképpen egy proxy szerver) és az Explorer.exe file-okat, valamint a Temp könyvtáron belül egy Message állományt, ami véletlenszerűen egymás mellé válogatott karaktereket tartalmaz; ezt jeleníti meg Notepaden keresztül
– leállítja a taskmon.exe process-t, ha az éppen fut
– hozzáadja a HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32 Registry kulcs default bejegyzéséhez a [System elérési útvonala]/ctfmon.dll értéket
– hozzáadja az Explorer=[System elérési útvonala]/Explorer.exe bejegyzést a következő Registry kulcsokhoz:
. HKEY_CURRENT_USER/Software/Microsft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
– felülírja a helyi host file-t, hogy a felhasználókat megakadályozza a következő weboldalak elérésében:
. ad.doubleclick.net
. ad.fastclick.net
. ads.fastclick.net
. ar.atwola.com
. atdmt.com
. avp.ch
. avp.com
. avp.ru
. awaps.net
. banner.fastclick.net
. banners.fastclick.net
. ca.com
. click.atdmt.com
. clicks.atdmt.com
. dispatch.mcafee.com
. download.mcafee.com
. download.microsoft.com
. downloads.microsoft.com
. engine.awaps.net
. fastclick.net
. f-secure.com
. ftp.f-secure.com
. ftp.sophos.com
. go.microsoft.com
. liveupdate.symantec.com
. mast.mcafee.com
. mcafee.com
. media.fastclick.net
. msdn.microsoft.com
. my-etrust.com
. nai.com
. networkassociates.com
. office.microsoft.com
. phx.corporate-ir.net
. secure.nai.com
. securityresponse.symantec.com
. service1.symantec.com
. sophos.com
. spd.atdmt.com
. support.microsoft.com
. symantec.com
. update.symantec.com
. updates.symantec.com
. us.mcafee.com
. vil.nai.com
. viruslist.ru
. windowsupdate.microsoft.com
. www.avp.ch
. www.avp.com
. www.avp.ru
. www.awaps.net
. www.ca.com
. www.fastclick.net
. www.f-secure.com
. www.kaspersky.ru
. www.mcafee.com
. www.microsoft.com
. www.my-etrust.com
. www.nai.com
. www.networkassociates.com
. www.sophos.com
. www.symantec.com
. www.trendmicro.com
. www.viruslist.ru
. www3.ca.com
– DoS-támadást kísérel meg a www.microsoft.com és a www.sco.com weboldalak ellen
. 70 százalékos valószínűsége van annak, hogy február 3-án megtámadja a www.microsoft.com-ot
. 80 százalékos valószínűsége van annak, hogy február 1-én megtámadja a www.sco.com-ot
– a fentiekre folyamatos GET kérelmek küldésével tesz kísérletet, melyet a 80-as porton keresztül hajt végre
– e-mailcímek után kutat, melyeket a következő kiterjesztéssel bíró állományokban keres: .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt
– az így begyűjtött címekere továbbítja magát saját SMTP-motorja segítségével; külön trükk, hogy küldés előtt leellenőrzi a címzett által használt levelezőszervert, s ha a következő stringek használatával el tudja érni, akkor azt használja (ellenkező esetben a helyi szerverről küldi tovább magát): gate., ns., relay., mail1., mxs., mx1., smtp., mail., mx.
– felmásolja magát a Kazaa letöltési könyvtárába a következő file-nevek egyikén:
. icq2004-final
. Xsharez_scanner
. BlackIce_Firewall_Enterpriseactivation_crack
. ZapSetup_40_148
. MS04-01_hotfix
. Winamp5
. AttackXP-1.26
. NessusScan_pro
– a fenti állomány az alábbi kiterjesztések valamelyikét kaphatja meg: .pif, .scr, .bat, .exe
– a féreg képes az A változatnak már áldozatul esett rendszerek felülfertőzésére is, ezt véletlenszerűen generált IP-címekre való behatolási kísérletek során tudja megtenni