Privatbrugere kan sætte gang i Mydoom
En ny e-mail orm spreder sig kraftigt i Danmark i øjeblikket. EuroTrust Virus112 har valgt at sende en gul alarm angående denne trussel. Ormen indeholder en proxy server, som gør det muligt at downloade og installere programmer og samtidigt bruge computerens netværksressourcer. Dette kan for eksempel bruges til at udsende spam, eller sprede andre vira.
Ormen ankommer i en e-mail, der ser sådan her ud:
Fra: (en forfalsket afsender adresse)
Emne: hi, error, hello, Mail Transaction Failed, Server Report, Mail Delivery System, test, Status
Besked:
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
Vedhæftet:
file, document, doc, body, data, readme, test, message, text
Den vedhæftede fil ender på et af følgende navne:
zip, cmd, scr, exe, pif, bat
Den vedhæftede fil kan have et ikon, som et tekstdokument, hvis fil-efternavnet er .exe eller .scr ellers vil den have et standard ikon.
Ormen modificerer registreringsdatabasen, som så sørger for at starte ormen og bagdøren sammen med computeren.
W32.Mydoom vil også forsøge at lave et DoS (Denial of Service) angreb imod adressen
www.sco.com, hvis datoen er imellem 01-02-2004 og 12-02-2004. Ormen indeholder en indkodet stopdato, som deaktiverer ormen den 12-02-2004.
En mere detaljeret analyse kan findes i vores kundedatabase.
Et removal tool, som kan fjerne Mydoom, kan hentes i kundesystemet. Værktøjet skal køres i fejlsikret tilstand.
Du kan med fordel bruge vores online virusscanner til at kontrollere, om din pc er inficeret med Mydoom:
http://www.virus112.com/index.php?page=online_virusscan
Kilde:
EuroTrust Virus112 A/S
Mydoom
======
I aften kan privatbrugere sætte skub i spredningen af Mydoom ormen. Dette skyldes fortrinsvist at mange privatbrugere først åbner for deres mail, efter de er kommet hjem fra arbejde.
Antallet af mails inficeret med Mydoom er faldet siden i morges. Men vi kan forvente at antallet af inficerede mails stiger i løbet af aftenen. Dette skyldes både de mange privatbrugere, men samtidig har Mydoom ormen indbygget en mulighed for at sprede sig via fildelingsnetværket Kazaa.
Mydoom ormen leder den inficerede computer igennem for at finde ud af, om den indeholder en Kazaa download mappe. Hvis ormen finder denne mappe, vil den kopiere følgende filer til mappen:
winamp5, icq2004-final, activation_crack, strip-girl-2.0bdcom_patches, rootkitXP, office_crack og nuke2004
Filerne vil få et af følgende efternavne: pif, scr, bat eller exe
Derved kan andre Kazaa-brugere blive inficeret med Mydoom, hvis de tror at ovenstående filer eksempelvis indeholder et rootkit til Windows XP og derfor downloader og åbner den inficerede fil.
Hjemmearbejdspladser kan også udgøre en risiko, hvis de ikke er ordentlig beskyttet med antivirus-program og en personlig firewall. Hjemmearbejdspladser bliver nemlig også tit brugt til andet end arbejde, og derfor kan en virus eller orm let slippe ind på virksomheders netværk, hvis ikke hjemmearbejdspladsen er beskyttet.
Kilde : Virus 112