Mydoom torna a colpire con la variante Q

Mydoom torna a colpire con la variante Q

Mydoom torna a colpire duro e stavolta prende di mira Yahoo People Search per cercare gli indirizzi delle vittime

di pubblicata il , alle 15:34 nel canale Sicurezza
Yahoo
 

Sono passati pochi giorni da quando la variante M del worm Mydoom aveva colpito in modo pesante il motore di ricerca Google e milioni di utenti in tutto il mondo che qualche virus writer ha pensato bene di rincarare la dose e mettere in scompiglio anche Yahoo e qualche altro milione di utenti su Internet.

É stata isolata oggi infatti la variante Q del worm Mydoom. Il worm si diffonde in modo simile alla precedente variante, con la differenza che per ricercare gli indirizzi e-mail delle vittime utilizza il motore di ricerca Yahoo People Search invece che Google.

Il file infetto è un eseguibile dalle dimensioni di 21504 bytes e compresso con il packer UPX.

Una volta eseguito, il worm apre il notepad e si copia sotto la directory di sistema di Windows con il nome di WINLIBS.EXE. Inoltre, per eseguirsi all'avvio in modo automatico, aggiunge al registro la chiave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"winlibs.exe" = "%WinSysDir%\winlibs.exe"

(dove %WinSysDir% è la directory di sistema)

Inoltre il worm crea la seguente chiave

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\winlibs]

e crea un mutex denominato 'NorthernLightMixed'.

Il worm poi legge gli indirizzi di posta dal Windows Address Book e dai files aventi queste estensioni:

txt
dhtm
msg
htm
xml
eml
html
sht
shtm
shtml
jse
jsp
js
php
cfg
asp
ods
mmf
dbx
tbb
adb
pl
wab

In aggiunta il worm si connette al server 'email.people.yahoo.com' e cerca indirizzi e-mail di probabili vittime.

Il worm non si manda agli indirizzi e-mail che contengono le seguenti stringhe:

.edu
Bug
ugs
bug
upport
ICROSOFT
icrosoft
oot
dmin
ymant
avp
ecur
@MM
ebmast
help
opho
inpris
omain
senet
panda
32.
@mm
msn
inux
umit
nfo
irus
buse
orton
cafee
spam
Spam
SPAM
ntivi
eport
user
inzip
inrar
rend
pdate
USER
ating
ample
ists
persk
ccoun
ompu
msdn
YOU
you
oogle
arsoft
otmail
sarc
soft
ware
.gov
.mil
cribe
list
eturn
omment
Sale
sale
CRIBE
gmail
ruslis
ibm
win
!

L'oggetto delle e-mail può essere:

SN: New secure mail
Secure delivery
failed transaction
Re: hello (Secure-Mail)
Re: Extended Mail
Delivery Status (Secure)
Re: Server Reply
SN: Server Status

Il corpo del messaggio può essere:

  • Automatically Secure Delivery: for
  • Mail Delivery Server System: for
  • Extended secure mail message available at:
  • Secure Mail Server Notification: for
  • New mail secure method implement: for
  • New policy requested by mail server to returned mail
    as a secure compiled attachment (Zip).

  • Now a new message is available as secure Zip file format.
    Due to new policies on clients.

  • This message is available as a secure Zip file format
    due to a new security policy.

  • For security measures this message has been packed as Zip format.
    This is a newly added security feature.

  • New policy recommends to enclose all messages as Zip format.
    Your message is available in this server notice.

  • You have received a message that implements secure delivery technology.
    Message available as a secure Zip file.

  • This message is an automatically server notice
    from Administration at

  • Server Notice: New security feature added. MSG:ID: 455sec86
    from

  • New feature added for security reasons
    from

  • Automatically server notice:,
    Server reply from

  • New service policy for security added from

Il nome dell'allegato può essere:

mail
message
attachment
transcript
text
document
file
readme

con una delle seguenti estensioni:

.exe
txt.exe
htm.exe
txt.scr

o a volte il worm si può mandare all'interno di un file zip.

Il mittente delle e-mail è scelto a caso dalla seguente lista:

mike@
jennifer@
david@
linda@
susan@
nancy@
pamela@
eric@
kevin@
mary@
jessica@
patricia@
barbara@
karen@
sarah@
robert@
john@
daniel@
jason@
joe@

Infine il worm termina qualunque processo attivo nel sistema che contenga nel nome le seguenti stringhe:

uba
mc
Mc
av
AV
cc
Sym
nv
can
scn
java
xp.exe
ecur
nti
erve
sss
iru
ort
SkyNet
KV

Tutt'ora il motore di ricerca di Yahoo sembra comunque reggere bene il traffico generato dal worm, non avendo mostrato alcun segno di rallentamento.

Consigliamo agli utenti di aggiornare il prima possibile i propri software antivirus, visto che le società stanno rilasciando in queste ore gli aggiornamenti necessari per l'individuazione e la rimozione del worm.

F-Secure Corporation , società produttrice del famoso software antivirus F-Secure, ha lanciato un appello pubblico rivolto a chiunque abbia informazioni sugli autori del worm Mydoom, riportando l'offerta fatta da Microsoft di 250.000$ per chiunque possa fornire informazioni valide. Di seguito riportiamo l'appello originale:

THIS IS A PUBLIC MESSAGE FROM F-SECURE TO ANYBODY WHO MIGHT HAVE INFORMATION ON THE
WHEREABOUTS OF THE PERSON OR PERSONS BEHIND THE MYDOOM VIRUS FAMILY

We are urging anyone who knows the party behind Mydoom variants to contant the authorities, let them know who's behind it and to collect $250,000. Microsoft offered this public bounty reward on Mydoom on March 11th. It's still valid.

If you have information on the origin of Mydoom, you're most likely connected to spamming in one way to the other (as Mydoom is used to create spam proxies). So you should be able to appreciate money. $250,000 is a lot of money. Think about it.

Report all information on the whereabouts of the virus writers behind Mydoom via the forms at Internet Fraud Complaint Center or FBI . Remember to mention that you're interested in collecting the Microsoft bounty. Feel free to report via a remailer using a fake identity and leave an E-Gold account. As long as you report. Do it now.

If you're uneasy about filling forms and sending them to FBI, just contact us. We will work with you. You can reach us at weblog@f-secure.com.

* MAKE MONEY FAST - FIND THE AUTHOR OF MYDOOM *

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
barabba7304 Agosto 2004, 16:22 #1
Gli USA hanno sempre utilizzato il sistema delle 'taglie' o 'ricompense', fin dal tempo del farwest !
250000mila dollari sono una fortuna...
stbarlet04 Agosto 2004, 16:55 #2
hai idea però di quanti € costano ( e quanto fanno guadagnare) questi bug?
Max Power04 Agosto 2004, 17:36 #3
Ki non muore si rivede!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^