W32.Mydoom

Наслов: W32.Mydoom 3/7/2009, 18:05

VIRUS INFO
Naziv virusa: W32.Mydoom
Alias: W32.Novarg.A, Mimail.R, Novarg.A, Shimg, W32/Mydoom@MM
Tip: worm
Način širenja: e-mailom i startovanjem pristiglog attachmenta
Veličina: 22,528 bajtova ili 40KB bajtova ako je kompresovan sa UPX
Destruktivan:
ne
Datum aktiviranja:
Otkriven: 27.01.2004.

OBJAŠNJENJE
Stiže kao e-mail sa sledećim karakteristikama:

Subject:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Telo poruke:

Mail Transaction Failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary
attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent
as a binary attachment

Attachment:

document
readme
doc
text
file
data
test
message
body

Ekstenzija datoteke:

.pif
.scr
.exe
.cmd
.bat
.zip

Pristigli attachment je potrebno korisnik da startuje kako bi crv počeo svoje dejstvo.

Prvo kreira dve nove datoteke: SHIMGAPI.DLL i TASKMON.EXE. Zatim dodaje i ključeve u Registry bazi:

HKLM\Software \ Microsoft \ Windows \ CurrentVersion \ Run \ TaskMon sa
Windows_folder \ taskmon.exe

Crv kreira i sledeće ključeve

HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ComDlg32
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ComDlg32

i kreira datoteku Message u Temp folderu.

Da bi se poslao na što više e-mail adresa, crv skenira sve datoteke *.htm, *.sht, *.php, *.asp, *.dbx, *.tbb, *.adb, *.pl, *.wab i *.txt u potrazi za e-mail adresama.

Crv se neće poslati na e-mail adrese ako u njima postoji:

.edu, abuse, fcnz, spm, www, secur, avp, syma, icrosof, msn, hotmail, panda, sopho, borlan, inpris, example, mydomai, nodomai, ruslis, .gov, gov., .mil, foo., berkeley, unix, math, bsd, mit.e, gnu, fsf., ibm.com, google, kernel, linux, fido, usenet, iana, ietf, rfc-ed, sendmail, arin., ripe., isi.e, isc.o, secur, acketst, pgp, tanford.e, utgers.ed, mozilla, root, info, samples, postmaster, webmaster, noone, nobody, nothing, anyone, someone, your, you, me, bugs, rating, site, contact, soft, no, somebody, privacy, service, help, not, submit, feste, ca, gold-certs, the.bat, page, admin, icrosoft, support, ntivi, unix, bsd, linux, listserv, certific, google i accoun.

Datoteka SHIMGAPI.DLL je u stvari proxy-server. Crv će otvoriti TCP portove između 3127 i 3198.

HKCR \ CLSID \ {E6FB5E20-DE35-11CF-9C87-00AA005127ED} \ InProcServer32
"(Default)" = "%SysDir%\shimgapi.dll

Crv u sebi nosi i funkciju koja mu omogućava DoS napad na sajt www.sco.com .

Ova funkcija će se aktivirati 1 februara i trajaće do 12 februara. Crv će slati komandu GET svake milisekunde na port 80 na domen što će rezultovati padom servera.

Crv se širi i preko programa KaZaa tako što se predstavlja u datotekama:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

sa sledećim ekstenzijama
bat
exe
scr
pif

REŠENJE
Preuzmite sledeći cleaner: ( download) a zatim osvežite vaš AV program.