/ Forside/ Teknologi / Internet / Sikkerhed / Tip
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Virus advarsel W32.MyDoom. også KaZaa
polles har modtaget 20 point for dette tip
Fra : polles
Vist : 1042 gange

Dato : 28-01-04 22:28


Navn: W32.MyDoom.B
Alias: Win32.Mydoom.B
W32/Mydoom.b@MM
W32.Mydoom.B@mm
Udsendt: 28-01-2004 21:57:46
Type: W32 Virus
Spredning: Høj
Ødelæggelse: Høj
Sårbare klienter: Windows 2000
Windows 95
Windows 98
Windows ME
Windows XP
Vedhæftede filer: Se teknisk beskrivelse.
Størrelse: 29,184 B
Disinfektion:
Opdaget: 28-01-2004 21:39:52

Beskrivelse:
W32.Mydoom.B er internet orm, den spreder sig ved at søge filer igennem
på det inficerede system, herfter sender den sig selv, igennem sin egen
STMP server, til alle email adresser fundet på systemet.
Ormen indeholder som W32.MyDoom.a, en bagdør der fungerer som en proxy
server, det er også muligt at bruge denne bagdør til at downloade og
eksekvere filer på det inficerede system.


Følgende kan ske ved inficering af denne orm:

Kraftig udsendelse af email fra det inficerede system
Ormen åbner en bagdør på systemet.
Ormen vil forsøge at lave et DoS (Denial of Service) angreb.
Rettelser i hosts filen der sørger for at en række sider ikke kan
vises.
Spredning af ormen via KaZaa fildelingsprogrammet.

Ormen laver følgende filer på det inficerede system:

%Temp%\Message
%SystemDir%\ctfmon.dll
%SystemDir%\explorer.exe

Ormen indsætter følgende i registreringsdatabasen:

værdi: "(Default)" = %System%\ctfmon.dll
Nøgle:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcSer
ver32
Beskrivelse: Dette starter den ovenstående DLL, som indeholder
bagdøren, sammen med explorer.exe.

værdi: "Explorer" = %System%\Explorer.exe
Nøgle: HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
og:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Beskrivelse: Dette får ormen til at starte sammen med windows.

Teknisk Beskrivelse:

En mail fra ormen kan se sådan her ud:

Afsender: en forfalsket email adresse.

Emne, en af følgende:

Returned mail, Delivery Error, Status, Server Report, Mail
Transaction Failed, Mail Delivery System, hello eller hi

Besked, en af følgende:

The message cannot be represented in 7-bit ASCII encoding and has
been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary
attachment.
Error #804 occured during SMTP session. Partial message has been
received.
sendmail daemon reported:
Mail transaction failed. Partial message is available.
The message contains MIME-encoded graphics and has been sent as a
binary attachment.

Vedhæftet:

Den vedhæftede fil ender på en af følgende:
pif, scr, exe, cmd, bat, zip

Når den W32.Mydoom.B bliver eksekveret sker følgende:

Den laver følgende filer:

%Temp%\Message
%SystemDir%\ctfmon.dll - indeholder bagdøren
%SystemDir%\explorer.exe - selve ormen.

W32.MyDoom.B laver følgende ændringer i registreringsdatabasen:

værdi: "(Default)" = %System%\ctfmon.dll
Nøgle:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcSer
ver32
Beskrivelse: Dette starter den ovenstående DLL, som indeholder
bagdøren.

værdi: "Explorer" = %System%\Explorer.exe
Nøgle: HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
og:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Beskrivelse: Dette får ormen til at starte sammen med windows.

ctfmon.dll er selve bagdøren, denne bliver startet op af explorer.exe
når computeren startes, den lytter på en af følgende porte: 80,1080,
3128, 8080, 10080. Der er gennem denne bagdør muligt for en ondsindet
person at downloade og eksekvere filer på det inficerede system,
samtidigt fungerer den som en proxy server.


Ormen finder email-adresser ved at søge følgende filer igennem: wab,
adb, tbb, dbx, asp, php, sht, htm, txt og pl på det inficerede system,
ormen vil vidresende sig selv til alle adresser den finder, gennem dens
egen SMTP server, samtidigt indeholder den en stor liste over
almindelige navne som den

også vil forsøge at sende til på det fundne domæne.

W32.MyDoom.B vil også forsøge at sprede sig via KaZaa ved at kopiere sig
selv ned i den delte KaZaa mappe med følgende filnavne:

xsharez_scanner, BlackIce_Firewall_Enterpriseactivation_crack,
zapSetup_95_693, MS59-56_hotfix, winamp0, NessusScan_pro, attackXP-6.71

Ormen vil indlede et DoS (Denial of Service) angreb imod www.sco.com og
www.microsoft.com.

Ormen ændrer hosts filen på det inficerede system, så det bliver umuligt
at besøge følgende sider:

ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com

Dette kan gøre det mere besværligt at få renset et inficeret system.

Fjernelse:
Genstart Computeren i fejlsikret tilstand.

Stop processen: taskmon.exe i joblisten.

Slet følgende filer hvis de eksisterer:

%Temp%\Message
%SystemDir%\ctfmon.dll
%SystemDir%\explorer.exe

Vælg start -> kør -> skriv: regedit -> tryk ok.
Find nøglen:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcSer
ver32
Nulstil værdien: "(Default)" = %System%\ctfmon.dll

Fjern værdien: Explorer = %System%\Explorer.exe

Fra følgende nøgler:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Slet de tilføjede linjer fra din hosts fil:
%SystemDir%\Drivers\etc\hosts


 
 
Bedømmelse

Fra : bigdane_dk


Dato : 28-01-04 23:36



Bedømmelse

Fra : arly


Dato : 28-01-04 23:09



Bedømmelse

Fra : SKELMOSE


Dato : 28-01-04 23:33



Bedømmelse

Fra : Befan


Dato : 28-01-04 23:36



Bedømmelse

Fra : nicolehh


Dato : 28-01-04 23:06



Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke lave en bedømmelse til dette tip.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177580
Tips : 31968
Nyheder : 719565
Indlæg : 6409081
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste