W32/Mydoom.be@MM
Adatlap
- Felfedezés időpontja: 2005.02.20.
- Eredet: Ismeretlen
- Hossz: Változó
- Típus: Vírus
- Altípus: e-mail programféreg
- Szükséges adatbázis: 4431
- Szükséges keresőmotor: 4.3.20
Leírás módosítva: 2005.02.21. 4:45
Megjegyzés: ha olyan figyelmeztető emailt kap, amelyben a feladó azt állítja, hogy egy ön által küldött email vírust tartalmazott, nem okvetlenül jelenti azt, hogy az ön gépe ténylegesen fertőzött, mert a vírus gyakran hamisítja a feladót.
A vírus hasonlít elődeihez, és az alábbi tulajdonságokkal jellemezhető:
- saját SMTP motort használva tömeges levelezéssel terjed
- e-mail címeket gyűjt a fertőzött gépről
- a feladó címét hamisítja
- letölti a BackDoor-CEB.f trójai programot
A fertőzést hordozó e-mail felépítése
Feladó: a gyűjtött e-mail címekből hamisítja a feladó email címét, de az alábbi elemekből is rak össze címeket a vírus:
- mailer-daemon@(target_domain)
- noreply@(target_domain)
- postmaster@(target_domain)
és az alábbi neveket írja ki feladóként:
- "Postmaster"
- "Mail Administrator"
- "Automatic Email Delivery Software"
- "Post Office"
- "The Post Office"
- "Bounced mail"
- "Returned mail"
- "MAILER-DAEMON"
- "Mail Delivery Subsystem"
Tárgy: (Változó, az alábbiak közül valamelyik)
- hello
- hi
- error
- status
- test
- report
- delivery failed
- Message could not be delivered
- Mail System Error - Returned Mail
- Delivery reports about your e-mail
- Returned mail: see transcript for details
- Returned mail: Data format error
Üzenettörzs: Változó, sztringekből összerakott.
Csatolt állomány: EXE fájl, az alábbi kiterjesztések valamelyikével: [.exe, .com, .scr, .pif, .bat, .cmd] - de érkezhet ZIP fájlként is, esetleg kétszeres ZIP-eléssel, ekkor .ZIP kiterjesztéssel). A csatolmány használhatja a cél e-mail címet fájlnévként, vagy az alábbiak valamelyikét is:
- README
- INSTRUCTION
- TRANSCRIPT
- LETTER
- FILE
- TEXT
- ATTACHMENT
- DOCUMENT
- MESSAGE
A csatolt fájl lehet dupla kiterjesztésű is, ekkor a két kiterjesztés között több szóköz található.
Levélminta:
E-mail címek gyűjtése:
A fertőzött gépen az alábbi kiterjesztésű állományokat vizsgálja meg:
- DOC
- TXT
- HTM
- HTML
A vírus lekérdezi az alábbi négy keresőmotort is, további címeket gyűjtve:
- http://search.lycos.com
- http://www.altavista.com
- http://search.yahoo.com
- http://www.google.com
...de emellett a fertőzött gép aktiv Outlook ablakaiban is gyűjt címeket.
E-mail kizárások:
A vírus nem küldi el magát azokra a címekre, amelyek tartalmazzák az alábbiak egyikét:
- mailer-d
- spam
- abuse
- master
- sample
- accoun
- privacy
- certific
- bugs
- listserv
- submit
- ntivi
- support
- admin
- page
- the.bat
- gold-certs
- ca
- feste
- not
- help
- foo
- no
- soft
- site
- me
- you
- rating
- your
- someone
- anyone
- nothing
- nobody
- noone
- info
- winrar
- winzip
- rarsoft
- sf.net
- sourceforge
- ripe.
- arin.
- gnu.
- gmail
- seclist
- secur
- bar.
- foo.com
- trend
- update
- uslis
- domain
- example
- sophos
- yahoo
- spersk
- panda
- hotmail
- msn.
- msdn.
- microsoft
- sarc.
- syma
- avp
Letöltés:
A vírus megkísérli letölteni a BackDoor-CEB.f trójai programot az alábbi oldalakról:
- http://www.newgenerationcomics.net/banner/(neutered).jpg
- http://www.aartanridge.org.uk/YaBBImages/(neutered).gif
- http://www.eastcoastchoons.co.uk/4play/(neutered) .JPG
- http://www.foxalpha.com/charte/(neutered).jpg
- http://www.sundayriders.co.uk/images/(neutered).gif
- http://www.hooping.org/archives/(neutered).JPG
- http://www.ribaforada.net/banners/(neutered) .gif
- ics.net/banner/(neutered).jpg
Egyéb tulajdonságok:
A vírus futásakor bemásolja magát a WINDOWS könyvtárba JAVA.exe néven, pl:
- \WINDOWS\JAVA.exe
valamint SERVICES.exe néven is:
- \WINDOWS\SERVICES.exe
A vírus registry bejegyzést is készít az indításhoz:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "JavaVM" = %WinDir%\JAVA.EXE
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Services" = %WinDir%\SERVICES.EXE
További registry kulcsokat is készít:
- HKEY_CURRENT_USER\Software\Microsoft\Daemon
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon
A SERVICES.EXE processz kinyit az áldozatul kiszemelt gépen egy véletlenszerű portot, és figyeli a bejövő kapcsolatokat. Ez a processz TCP üzenetet küld a fertőzött gép magasabb portjáról tetszőleges változó IP című gépekre. Ha a másik IP című számítógépet backdoor által fertőzöttnek találja, a gép IP címét kódoltan a zincite.log fájlba írja.
Eltávolítás
Minden felhasználó részére: vírus felismeréséhez és tisztításához használja a hivatkozott keresőmotort és DAT fájlokat. Azokat a Registryben/INI fájlokban végrehajtott módosításokat, amelyek a rendszer indításához való kapcsolódást biztosították, az ajánlott keresőmotor és DAT fájlok sikeresen eltávolítják.
Stinger
A Stinger legújabb verziója tartalmazza a vírus detektálásához és tisztításához szükséges ismereteket. Fontos: a Stinger futása után a teljes tisztításhoz újra kell indítani a számítógépet.
Egyéb elnevezések
- W32.MyDoom.BA@mm (Symantec)
- W32/MyDoom-BC (Sophos)
