SzukajSzukaj
dołącz do nas Facebook Google Linkedin Twitter

Alarm wirusowy - Mydoom.N

Mydoom.N pojawił się 26. lipca i rozprzestrzenia się bardzo szybko

Jest to robak internetowy, który otwiera na komputerze ofiary "tylną furtkę" dla hakerów. Jest przy tym bardzo trudny do rozpoznania, ponieważ w zaden sposób nie
informuje o infekcji - poinformowowała wwe wtorek nad ranem firma PANDA SOFTWARE POLSKA.

Mydoom.N tworzy następujące pliki w folderze Windows:

JAVA.EXE. Jest to kopia robaka.

SERVICES.EXE

Aby zapewnić sobie aktywację przy każdym uruchomieniu systemu Windows,

Mydoom.N modyfikuje też rejestr w sposób następujący:

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run

JavaVM = %windir% java.exe

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run

Services = %windir% services.exe

gdzie %windir% to folder Windows.


Mydoom.N rozprzestrzenia się za pomocą wiadomości e-mail o poniższej

charakterystyce:

Nadawca:

Mydoom.M fałszuje adres nadawcy.

Może także dodać jeden z poniższych tekstów do adresu nadawcy:

"Automatic Email Delivery Software"

"Bounced mail"

"Mail Delivery Subsystem"

"MAILER-DAEMON"

"Post Office"

"Returned mail"

"The Post Office"

"Mail Administrator"

"Postmaster"

MAILER-DAEMON

noreplypostmaster

Temat: jeden z poniższych:

click me baby, one more time

delivery failed

Delivery reports about your e-mail

error

hello

report

say helo to my litl friend

status

Wiadomość: może być pusta, złożona z przypadkowych znaków lub

jedna z poniższych:

Wiadomość 1:

The original message was received at <czas i data>

from <url> [<adres IP>]

----- The following addresses had permanent fatal errors -----

<url>

Wiadomość 2:

The original message was received at <czas i data>

from <url> [<adres IP>]

----- The following addresses had permanent fatal errors -----

<adres email>

----- Transcript of session follows -----

while talking to <serwer>.:

>>> MAIL From: <adres email>

<<< 501 <adres email>... Refused

Wiadomość 3:

This Message was undeliverable due to the following reason:

Your message was not delivered because the destination computer was

not reachable within the allowed queue period. The amount of time

a message is queued before it is returned depends on local configura-

tion parameters.

Most likely there is a network problem that prevented delivery, but

it is also possible that the computer is turned off, or does not

have a mail system running right now.

Your message was not delivered within 7 days:

Host <adres IP> is not responding.

The following recipients did not receive this message:

<adres email>

Please reply to <adres email>

if you feel this message to be in error.

Wiadomość 4:

Message could not be delivered

Wiadomość 5:

The original message was included as attachment

Załącznik: o zmiennej nazwie i rozszerzeniu:

Występujące nazwy plików: przypadkowa nazwa lub jedna z

następujących: ATTACHMENT, DOCUMENT, FILE, LETTER, MAIL, MESSAGE,

README, TEXT, TRANSCRIPT.

Występujące rozszerzenia: BAT, CMD, COM, EXE, PIF, SCR, ZIP.

# Komputer zostaje zainfekowany po otwarciu załącznika.

# Mydoom.M poszukuje adresów e-mail w plikach o następujących

rozszerzeniach: DOC, HTM, HTML oraz TXToraz w Książce Adresowej systemu

Windows.

# Mydoom.I przesyła się pod wszystkie pozyskane adresy wykorzystując

własny mechanizm SMTP.

# Nie rozsyła się pod adresy email których:

- Nazwa domeny zawiera jeden z ciągów znakowych: gov, mil, arin, avp,

bar, domain, example, foo, gmail, gnu, google, gov, hotmail, labs, math,

mcrosoft, msn., ophos, panda, rarsoft, ripe, sarc, seclist, secure,

sf.net, sourceforge, spersk, syma, update, uslis and winzip.

- Nazwa odbiorcy jest następująca: root, info, samples, noone, nobody,

nothing, anyone, someone, your, you, me, rating, site, contact, soft,

no, service, help, not, feste, ca, gold-certs, the.bat, page.

- Nazwa zawiera tekst: admi, crosoft, suppor, ntivi, submit,

listserv, bug, secure, priacycertific, accoun, sample, contact, master,

abus, spam.

Dołącz do dyskusji: Alarm wirusowy - Mydoom.N

0 komentarze
Publikowane komentarze są prywatnymi opiniami użytkowników portalu. Wirtualnemedia.pl nie ponosi odpowiedzialności za treść opinii. Jeżeli którykolwiek z postów na forum łamie dobre obyczaje, zawiadom nas o tym redakcja@wirtualnemedia.pl