Kezdolap  
 
   


W32/Mydoom@MM

Adatlap

Felfedezés időpontja: 2004. 01. 26.
Eredet: Ismeretlen
Hossz: 22528 bájt
Típus: Vírus
Altípus: e-mail programféreg
Szükséges adatbázis: 4319
Szükséges keresőmotor: 4.2.40

Előfordulás valószínűsége

Vállalati környezet: Magas - víruskitörés
Otthoni felhasználók: Magas - víruskitörés

Leírás módosítva: 2004.01.27. 17:00

Tulajdonságok

A vírus tömeges levelezéssel és fájlmegosztáson alapuló rendszereken keresztül is képes terjedni.

A vírust tartalmazó e-mail az alábbi tulajdonságokkal rendelkezik:

From / feladó: (hamisított a feladó email címe)
Subject / tárgy: (Változó, az alábbiak közül valamelyik)

  • Error
  • Status
  • Server Report
  • Mail Transaction Failed
  • Mail Delivery System
  • hello
  • hi

Body / levéltörzs:  (Változó, az alábbiak közül valamelyik) 

  • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
  • The message contains Unicode characters and has been sent as a binary attachment.
  • Mail transaction failed. Partial message is available.

Attachment / csatolt állomány: (változó: [.bat, .exe, .pif, .cmd, .scr] - minden esetben ZIP archívumként érkezik) (22,528 byte)

  • doc.bat
  • document.zip
  • message.zip
  • readme.zip
  • text.pif
  • hello.cmd
  • body.scr
  • test.htm.pif
  • data.txt.exe
  • file.scr

A vírus a levélben szöveges állományra utaló ikont használ, félrevezetve a felhasználót:

A vírus futásakor bemásolja magát a WINDOWS SYSTEM könyvtárba taskmon.exe néven:

  • %SysDir%\taskmon.exe

(A %Sysdir% változó a Windows System könyvtár, pl.: C:\WINDOWS\SYSTEM)

A vírus registry bejegyzést is készít:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe

A vírus egy DLL állományt is másol a Windows System könyvtárba:

  • %SysDir%\shimgapi.dll (4,096 byte)

A számítógép újraindítása után a DLL az EXPLORER.EXE-hez "kapcsolja" magát az alábbi registry kulcs alapján:

  • HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll

Állomány-megosztáson alapuló fertőzés

A vírus az alábbi neveket használva másolja fel magát a KaZaa megosztott könyvtáraiba:

  • nuke2004
  • office_crack
  • rootkitXP
  • strip-girl-2.0bdcom_patches
  • activation_crack
  • icq2004-final
  • winamp

Távoli hozzáférést biztosító komponens

A vírus kinyitja a 3127-es TCP portot, távoli hozzáférést biztosítva a számítógéphez.

Denial of Service (DOS) komponens

A fertőzött számítógép február 1 és 12-e között DOS támadást indít az sco.com domain ellen.

A fertőzés tünetei

A vírus futása közben elindul a Notepad az alábbiakhoz hasonló értelmetlen tartalommal:

Az eddigiekben említett állományok és registry bejegyzések létezése.

A fertőzés menete

A vírus tömeges levelezéssel és Kazaa klienseken keresztül terjed. Az email címeket az alábbi állományokban keresi:

  • wab
  • adb
  • tbb
  • dbx
  • asp
  • php
  • sht
  • htm
  • txt

Emellett olyan szövegrészeket is tartalmaz, amelyeket véletlenszerű email-címek összeállítására használ. Ezek a nevek az összegyűjtött domain-nevekhez előtagként szerepelnek:

  • sandra
  • linda
  • julie
  • jimmy
  • jerry
  • helen
  • debby
  • claudia
  • brenda
  • anna
  • alice
  • brent
  • adam
  • ted
  • fred
  • jack
  • bill
  • stan
  • smith
  • steve
  • matt
  • dave
  • dan
  • joe
  • jane
  • bob
  • robert
  • peter
  • tom
  • ray
  • mary
  • serg
  • brian
  • jim
  • maria
  • leo
  • jose
  • andrew
  • sam
  • george
  • david
  • kevin
  • mike
  • james
  • michael
  • john
  • alex

Eltávolítási utasítások

Minden felhasználónak:

Az érvényes adatbázisokkal és keresőmotorral a vírus tisztítható.

Az shimgapi.dll állomány "hozzákapcsolja" magát az EXPLORER.EXE-hez, miután újraindult a fertőzött számítógép. Ebben az esetben egy újraindítás és egy vírusellenőrzés szükséges ahhoz, hogy a DLL eltávolítható legyen a számítógépről.

Stinger

A Stinger 1.97 verziója tartalmazza a vírus detektálásához és tisztításához szükséges ismereteket. Fontos: a Stinger futása után a teljes tisztításhoz újra kell indítani a számítógépet.

McAfee Desktop Firewall felhasználóknak

A megfelelő védelem érdekében a személyes tűzfal programmal blokkolható a TCP 3127 port "incoming" irányban.

McAfee ThreatSCan felhasználóknak

A legutolsó ThreatScan adatbázis (2004-01-27) tartalmazza a Mydoom vírus felismeréséhez szükséges ismereteket (ThreatScan v2.0, v2.1, v2.5.).

Egyéb elnevezések

  • Novarg (F-Secure)
  • W32.Novarg.A@mm (Symantec)
  • Win32.Mydoom.A (CA)
  • Win32/Shimg (CA)
  • WORM_MIMAIL.R (Trend)
  
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2004.