Mydoom.M atakuje

Firmy antywirusowe Panda Software i Kaspersky Labs informują o pojawieniu się nowego robaka - nazwanego Mydoom.M. Wirus pojawił się 26 lipca i rozprzestrzenia się bardzo szybko. Jest to robak internetowy, który otwiera na komputerze ofiary "furtkę" dla hakerów. Jest przy tym bardzo trudny do rozpoznania, ponieważ w żaden sposób nie informuje o infekcji. Mydoom.M rozprzestrzenia się za pomocą wiadomości e-mail z fałszywym adresem nadawcy i tematem zazwyczaj "informującym", że "nie dostarczono maila". Trafiają się też tematy typu "hello", "report", "error".

article cover
INTERIA.PL

Tekst maila: może być pusty, złożony z przypadkowych znaków lub "informujący" o "przyczynach niedostarczenia maila". Do maila dodany jest załącznik o przypadkowej nazwie z rozszerzeniem BAT, CMD, COM, EXE, PIF, SCR, ZIP. Komputer zostaje zainfekowany po otwarciu załącznika.

Mydoom.N tworzy następujące pliki w folderze Windows:

JAVA.EXE. (kopia robaka, 27 KB)

SERVICES.EXE

Aby zapewnić sobie aktywację przy każdym uruchomieniu systemu Windows, Mydoom.M modyfikuje też rejestr w sposób następujący:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run JavaVM = %windir%\ java.exe

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run Services = %windir%\ services.exe

(gdzie %windir% to folder, w którym jest Windows).

Mydoom.M poszukuje adresów e-mail w plikach o następujących rozszerzeniach: DOC, HTM, HTML, TXT oraz w Książce Adresowej systemu Windows. Wirus przesyła się pod wszystkie pozyskane adresy, wykorzystując własny mechanizm SMTP. Mydoom, nie tylko infekuje komputery na całym świecie, lecz także utrudnia pracę z wyszukiwarkami Google, Yahoo!, AltaVista oraz Lycos. Epidemia robaka spowodowała całkowite zablokowanie lub znaczne spowolnienie pracy tych systemów. Największe utrudnienia w korzystaniu z wyszukiwarek wystąpiły w Wielkiej Brytanii, Francji oraz w Stanach Zjednoczonych.

Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas