Mydoom torna sulla rete e crea disagi bloccando alcuni motori di ricerca

Mydoom torna sulla rete e crea disagi bloccando alcuni motori di ricerca

Le società produttrici di antivirus sono al lavoro per aggiornare i propri software con le nuove firme del nuovo worm che si sta rapidamente diffondendo su internet.

di pubblicata il , alle 09:36 nel canale Sicurezza
 

Le società produttrici di antivirus sono al lavoro per aggiornare i propri software con le nuove firme del nuovo worm che si sta rapidamente diffondendo su internet. Una nuova variante del noto worm Mydoom, la variante O (denominata anche M) ha raggiunto secondo MessageLabs una cifra di oltre 23000 e-mail infette nelle prime 5 ore dalla sua diffusione.

Il worm arriva tramite e-mail come allegato. Il file eseguibile è compresso con il packer UPX ed ha una grandezza di 28.832 bytes.
Una volta lanciato, il worm si copia nella directory di Windows con il nome di JAVA.EXE e crea una chiave nel registro alla voce HKLM\Software\Microsoft\Windows\CurrentVersion\Run con i seguenti valori "JavaVM" = "%Dir di Windows%\ java.exe".

Per diffondersi preleva gli indirizzi presenti nel WBA (Windows Address Book) e nei files temporanei di internet, oltre che analizzando i dischi rigidi.
Una volta individuate le e-mail, controlla attraverso alcuni motori di ricerca l'esistenza del dominio degli indirizzi.

I motori di ricerca utilizzati sono

http://search.lycos.com
http://www.altavista.com
http://search.yahoo.com
http://www.google.com

Questa massiccia richiesta di informazioni ha messo in crisi alcuni motori di ricerca. Google e Lycos stanno avendo alcuni problemi ai server, dovuti al sovraccarico causato dal worm.

Come molti mass-mailing worm, Mydoom.O modifica l'indirizzo del mittente delle e-mail che manda.
L'oggetto delle e-mail può essere:

• The/Your m/Message could not be delivered
• hello
• hi error
• status
• test
• report
• delivery failed
• Message could not be delivered
• Mail System Error - Returned Mail
• Delivery reports about your e-mail
• Returned mail: see transcript for details
• Returned mail: Data format error

Il testo del messaggio è generato automaticamente prendendo informazioni dal sistema infetto

Dear user {$t|of $T},{ {{M|m}ail {system|server} administrator|administration} of $T would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}

{We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.

{We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.

{Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.

{{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},

{$T {user |technical |}support team.|The $T {support |}team.} {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:

Your message {was not|could not be} delivered because the destination {computer|server} was{not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters.

Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.

Your message {was not|could not be} delivered within $D days:

{{{Mail s|S}erver}|Host} $i is not responding.

The following recipients {did|could} not receive this message: <$t> Please reply to postmaster@{$F|$T} if you feel this message to be in error. The original message was received at $w{ | }from {$F [$i]|{$i|[$i]}}

L'allegato può essere

• .zip
• .com
• .scr
• .exe
• .pif
• .bat

a volte il worm utilizza la doppia estensione, aggiungendo a quelle già in elenco, queste nell'elenco sottostante

• doc
• txt
• htm
• html
• cmd

Il worm tralascia tutte le e-mail che contengono le seguenti stringhe:

abuse
accoun
admin
anyone
arin.
avp
bar.
bugs
ca
certs
domain
example
feste
foo
foo.com
gmail
gnu.
gold-
google
help
hotmail
info
listserv
master
me
microsoft
msdn.
msn.
no
nobody
noone
not
nothing
ntivi
page
panda
privacycertific
rarsoft
rating
ripe.
sample
sarc.
seclist
secur
sf.net
site
soft
someone
sophos
sourceforge
spam
spersk
submit
support
syma
the.bat
trend
update
uslis
winrar
winzip
yahoo
you
your

Il worm crea un file di log, Zincite.log, che dovrebbe contenere dati utilizzati dal malware.

Infine il worm crea anche un file, services.exe, che viene copiato nella directory di Windows e viene aggiunto nel registro alla locazione precedente con la voce "services" = "%Dir di Windows%\services.exe".

Il file services.exe è una backdoor che si mette in ascolto sulla porta TCP 1034 e permette ad un attacker remoto di prendere il controllo completo del sistema.

Per rimuovere il worm basta terminare i processi infetti e cancellare le relative chiavi nel registro di sistema. É inoltre consigliabile aggiornare il proprio software antivirus, visto che le società stanno rilasciando in queste ore gli aggiornamenti necessari all'individuazione e rimozione del worm.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

17 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Luca6927 Luglio 2004, 09:57 #1

Ma nn hanno nulla di meglio da fare?

Non so chi ci sia dietro sti virus, ma mi sono giá arrivate un pacco di mail a causa di sto malware!
Dovrebbero finirla! Non riesco a capire quali possono essere i benefici di tale "software"
theBlooder27 Luglio 2004, 09:58 #2

Google

Ecco perchè ieri non riuscivo a fare delle ricerche con Google...
Max Power27 Luglio 2004, 10:10 #3
MYDOOM, vecchio lupo di mare...
Prome27 Luglio 2004, 10:23 #4
chi non muore si rivede
ErminioF27 Luglio 2004, 10:24 #5
Mydoom...doom3...sarà un caso sia tornato di moda proprio ora?
Cmq mi stupisco di quanta gente apra ancora gli allegati delle email rotfl
zerothehero27 Luglio 2004, 10:34 #6
ieri google è caduto..
homoinformatico27 Luglio 2004, 10:40 #7
carissimi utenti finali:
continuate a usare outlook express... continuate a fare doppio clik su qualunque cavolata vi mandano... continuate a rispondere di si alle richieste di installazione dei dialer...
Lo zio Peter Norton e capitan McAffee ringraziano e incassano, e nel frattempo si dà la scusa alla coppia Micro$oft/Intel di sviluppare il nuovo palladium o come capzio si chiama adesso, il tutto in nome della sicurezza. Con un minimo di raziocinio (ossia occhio ai siti molto colorati e non usando outlook express per la posta elettronica) la possibilità di prendere virus è molto ridotta. Continuo a sospettare (maledetta mentalità italica complottista) che sia tutta una manovra per mandare a quel paese il software libero
nonikname27 Luglio 2004, 10:53 #8
(maledetta mentalità italica complottista)
Max Power27 Luglio 2004, 11:35 #9
Piuttosto maledetti utonti ke non sanno un kaxo di informatica e solamente xkè hanno un PC si spacciano dei saccenti, peccato ke ogni momento portano il pc in assistenza per dei motivi tanto futili quanto futile è la loro intelligenza.

Parola di CONFUCIO
Genesio27 Luglio 2004, 11:53 #10
Originariamente inviato da Max Power
Piuttosto maledetti utonti ke non sanno un kaxo di informatica e solamente xkè hanno un PC si spacciano dei saccenti, peccato ke ogni momento portano il pc in assistenza per dei motivi tanto futili quanto futile è la loro intelligenza.

Parola di CONFUCIO



Sono d'accordo con te, ma considera che il computer ormai ce l'ha anche mio nonno e non tutti sono interessati o hanno la possibilità fisica di mettersi a studiare tutti i vari accorgimenti per evitare questi problemi. Il pc è purtroppo un bene di prima necessità, come la macchina, ma c'è sempre gente che non è capace di cambiare le ruote...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^