Uwaga: wirus Mydoom atakuje !

Nowy robak internetowy „Mydoom”, infekuje komputery na całym świecie. Firma F-Secure, producent oprogramowania zabezpieczającego przed atakami internetowymi, w odpowiedzi na zagrożenie jakie niesie za sobą rozprzestrzenianie się robaka, ogłosiła alarm pierwszego stopnia.

Nowy robak nazywany jest Mydoom lub Nowarg. Rozprzestrzenia się poprzez załączniki wiadomości e-mail oraz pliki Kazaa udostępniane w sieci peer – to – peer.

Robak rozpoczął ogólnoświatowe rozprzestrzenianie z wszystkich zainfekowanych komputerów. Jego celem jest blokowanie usług strony internetowej firmy SCO, jednego z największych dostawców systemu operacyjnego Unix na świecie.

Dyskusja wokół SCO rozpoczęła się po oświadczeniu firmy w grudniu ubiegłego roku, że system operacyjny Linux naruszył własność intelektualną Unix. Przez wiele osób zostało to odebrane jako atak ze strony SCO – komentuje Mikko Happonen, dyrektor laboratorium antywirusowego w firmie F-Secure – Najwyraźniej ktoś z nich zdecydował się odpowiedzieć atakiem na atak.

Oprócz blokowania usług, robak otwiera także „tylne drzwi” do zainfekowanych komputerów poprzez podsłuchiwanie portu 3176 TCP. Tą drogą twórca robaka może później uzyskać dostęp do zainfekowanych komputerów.

Mydoom pobiera adresy e-mail z książki adresowej oraz z plików z rozszerzeniem: pl, adb, tbb, dbx, asp, php, sht, htm, txt

Wiadomości e-mail są rozsyłane zupełnie przypadkowo:
Od:
Do:
Temat:< przypadkowy wyraz>

Temat wiadomości może mieć postać:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Treść wiadomości wygląda następująco:
test
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
The message contains Unicode characters and has been sent
as a binary attachment.
Mail transaction failed. Partial message is available.

Załączniki zawierają następujące nazwy:
document
readme
doc
text
file
data
test
message
body

Nazwa załącznika zakończona jest rozszerzeniem :ZIP, BAT, CMD, EXE, PIF lub SCR

Kiedy użytkownik otworzy załącznik, robak uruchamia Notatnik (Notepad) wypełniony przypadkowymi znakami i natychmiast zaczyna rozprzestrzeniać się dalej. Robak automatycznie kopiuje się do katalogu systemu Windows jako „taskmon.exe”. Jednocześnie tworzone są klucze w rejestrze:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
„TaskMon” = %sysdir% askmon.exe

lub jeśli powyższa próba się nie powiedzie :

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
„TaskMon” = %sysdir% askmon.exe

Po wykonaniu tych operacji robak automatycznie uaktywnia się podczas każdego uruchamiania systemu operacyjnego. Rozprzestrzenianie robaka ma się zakończyć 12 lutego tego roku.

http://www.f-secure.com/v-descs/novarg.shtml

Wpisy promowane

Wydarzenia

19. edycja Studenckiego Festiwalu Informatycznego
04.04.2024 - 06.04.2024

Najnowsze wpisy

Scroll to Top