Mydoom: isolata la variante S

Mydoom: isolata la variante S

Isolata in questi giorni la variante S del famigerato worm Mydoom: come individuarlo e rimuoverlo

di pubblicata il , alle 13:45 nel canale Sicurezza
 

stata isolata lo scorso 16 Agosto una nuova variante del worm Mydoom, conosciuta come Mydoom.S (o Mydoom.Q o WORM_RATOS.A).
Come al solito il worm si trasmette via e-mail e l'allegato un file eseguibile dalle dimensioni di 27136 bytes e compresso con il packer UPX.
Il nome dell'allegato photos_arc.exe e il mittente dell'e-mail uno qualunque preso dalla seguente lista:

john
alex
michael
james
mike
kevin
david
george
sam
andrew
jose
leo
maria
jim
brian
serg
mary
ray
tom
peter
robert
bob
jane
joe
dan
dave
matt
steve
smith
stan
bill
bob
jack
fred
ted
adam
brent
alice
anna
brenda
claudia
debby
helen
jerry
jimmy
julie
linda
sandra

L'oggetto delle e-mail "photos" e il messaggio LOL!;))))

Una volta eseguito, il worm si copia all'interno del sistema sotto due files:

%System%\winpsd.exe
%Windows%\rasor38a.dll

Dove %System% la directory di sistema e %Windows% la directory di Windows.

Crea di seguito un mutex, denominato "43jfds93872", per evitare che il codice venga eseguito pi di una volta contemporaneamente nel sistema.
Aggiunge al registro sotto la chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run la voce "winpsd"="%System%winpsd.exe".

Una volta installato nel sistema il worm tenta di scaricare dai siti

www.richcolour.com
zenandjuice.com

una backdoor dal nome winvpn32.exe. Se l'operazione riesce, il worm aggiunge la voce "InstaledFlashhMx"="1" sotto la chiave di registro HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer, a simbolo che la backdoor stata installata correttamente.

Crea inoltre la chiave di registro
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

La backdoor funge da proxy HTTP e da relay SMTP, oltre che da backdoor IRC: tenta infatti di connettersi a dei server IRC e attende dei comandi da remoto. Le porte utilizzate sono la 4661,4242,8080 e 3306.

Il worm tenta poi di leggere gli indirizzi e-mail dal computer infetto e non si invia agli indirizzi che contengono le seguenti stringhe:

avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
bugs
rating
site
contact
soft
somebody
privacy
service
help
not
submit
feste
gold-certs
the.bat
page
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun
abuse
upport
www
spm
spam
www
secur

Infine il worm modifica il file HOSTS in modo da inibire l'accesso ai siti internet delle societ produttrici di antivirus.

Si raccomanda di aggiornare rapidamente il proprio software antivirus.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta pi interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sig. Stroboscopico18 Agosto 2004, 15:17 #1
hmhmmm...

nell'elenco dei mittenti manca Sig. Stroboscopico... chissà come mai!...

^^

eheheheheheheh!

Scherzi a parte... sarebbe bello sapere se gli utonti che riescono a beccarsi roba del genere stanno crescendo o diminuendo...

Ciao!
pompone18 Agosto 2004, 16:25 #2
Penso che il numero di persone che so lo becchino aumenti di pari passo con il numero di utenti che utilizzano pc e email visto che all'utente medio (ma non solo) puoi dirglielo 1.000.000.000 di volte come comportarsi, tanto non ti ascolterà mai...tanto poi c'è qualcuno che sistema le cose.

Miao!!
KenMasters18 Agosto 2004, 17:11 #3
ma tutto questo solo se uso microzozz outlook giusto?
DioBrando18 Agosto 2004, 17:42 #4
Originariamente inviato da pompone
Penso che il numero di persone che so lo becchino aumenti di pari passo con il numero di utenti che utilizzano pc e email visto che all'utente medio (ma non solo) puoi dirglielo 1.000.000.000 di volte come comportarsi, tanto non ti ascolterà mai...tanto poi c'è qualcuno che sistema le cose.

Miao!!


dai n essere così catastrofico


io cmq senza usare artefatti o particolari sw ho visto diminuire il numero di mail infette spam o no che fossero...n sò se la politica repressiva di qlc Stato ha avuto i suoi frutti ma la situazione mi sembra nettamente migliorata

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^