A Mydoom féreg tömi el a levelesládákat

A 2004. január 26-ról 27-re virradó éjszaka felfedezett új Mydoom (más néven Novarg) féreg célja a Linux elpusztítására törekvő SCO cég webhelyének totális lebénítása. Erre az elosztott szolgáltatás-megtagadás típusú (DDoS) támadásra 2004. február 1-ével kezdődően kerülne sor, írta a Virushíradó.

A MyDoom-fertőzés egyik jellegzetessége, hogy a képernyőn megjelenik egy értelmetlen karaktereket tartalmazó Jegyzettömb- (Notepad-) ablak.

A féreg a fertőzött gépen található adb, asp, dbx, htm, php, pl, sht, tbb, és txt fájlok között kutat a továbbterjedéshez használható emailcímek után. Képes felismerni a spam elleni egyszerűbb trükkök egy részét, így például a @ jel helyett alkalmazott "at" rövidítést is értelmezni tudja. A levelek tárgya a "test", "hi", "hello", "Mail Delivery System", "Mail Transaction Failed", "Server Report", "Status", "Error" listából bármelyik lehet.

Kazaa-n is terjed

A levéltörzset a "test", "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment", 'The message contains Unicode characters and has been sent as a binary attachment", "Mail transaction failed. Partial message is available" szövegek közül választja a féreg. A levélhez bat, cmd, exe, pif, vagy scr kiterjesztésű fájl van csatolva. A fertőzött fájlt a féreg a Windows rendszermappájába másolja "taskmon.exe" néven.

A Mydoom a Kazaa fájlcserélőn is terjed, a registryből megállapítja, hogy van-e a gépen Kazaa kliensszoftver, majd annak megosztott könyvtárába másolja magát "activation_crack", "icq2004-final", "nuke2004", "office_crack", "rootkitXP", "strip-girl-2.0bdcom_patches" vagy "winamp5" néven.

Hátsóajtót nyit

A féreg egy hátsóajtóprogramot is elhelyez a fertőzött gépeken, ami többek között lehetővé teszi újabb kártékony összetevők feltöltését. Ez a folyamat a feladatkezelőben nem látható, mivel az Explorer.exe részeként fut a memóriában.

A News.com-nak nyilatkozó biztonságtechnikai szakértők szerint a Mydoom-járvány többszöröse lehet a Sobig.F által tavaly nyáron okozottnak.

A féreg terjedése 2004. február 12-én automatikusan befejeződik, a víruskereső szoftverek legújabb frissítései már felismerik a Mydoomot.