Mydoom: Alvorlig virus
To varianter af Mydoom er nu på omgang. Den er svær at kende, så stor forsigtighed er det bedste råd.
Af Stina Christiansen // 01/27/04
Virusen, der er kendt både som Mydoom.a, Novarg og Mimail.r, spredes med utrolig hast i øjeblikket over det meste af verden og er i løbet af natten til tirsdag kommet til Danmark. Den spredes via mail og Kazaa-netværket. Opdater straks dit antivirusprogram via linkene forneden eller anden vis. Antivirusproducenterne har ligeledes udviklet værktøjer, der kan fjerne virusen for dig.
Alle antivirusproducenter advarer mod den og ser den som meget alvorlig.
Den har ikke som de fleste andre viruser et fast, kendt emne på mailen men varierer både i afsender, emne og selve teksten i mailen. Den har en vedhæftet fil, som enten er en exe, .scr, .zip, eller .pif fil.
Når den har inficeret en computer, så begynder den at høste efter mailadresser og sender sig selv videre til alle de adresser, den kan finde på maskinen. Så som set før med så mange andre viruser, er den hellige grav IKKE velbevaret bare fordi, du kender afsenderen på mailen.
Virusen åbner desuden en bagdør til computeren og lytte ved forskellige porte. Det kan give en hacker adgang til din maskine og kontrol over den.
Så vær utrolig påpasselig med at åbne vedhæftede filer og opdater omgående dit antivirusprogram. Får du mailen, skal du blot slette den omgående.
Onsdag aften dukkede den op i en ny variant Mydoom.b, som er lig a-versionen. Den eneste store forskel er, at den retter sit angreb mod Microsoft.
Mulige kendetegn
Uden at det nødvendigvis hjælper ret meget, så kan de følgende emner være nogle af dem, den kan komme med:
Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi
Navnet på den vedhæftede fil kan være:
doc.bat
document.zip
message.zip
readme.zip
text.pif
hello.cmd
body.scr
test.htm.pif
data.txt.exe
file.scr
Selve teksten i mailen kan være en af de følgende linjer:
Ingenting
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
test
Den inficerer de følgende styresystemer:
Windows 98
ME
NT
2000
XP
Afhængig af den dato den udløses (mellem den 1. og den 12. februar) vil ormen vil udføre et denial-of-attack angreb mod softwarefirmaet
www.sco.com. Hvis den udløses, vil den hver 8. sekund tjekke, om computeren er forbundet til internettet. Hvis den er og den kan finde
www.sco.com starter den en uendelig række af HTTP GET forespørgsler mod dette site.
Firmaet har tidligere gjort sig upopulær blandt Linux-brugere.
Når virusen bliver eksekveret, åbnes der en notepad, hvor der står en masse nonsens og volapyk.