MyDoom-viruset Symptomer

February 19

Mydoom er en malware orm som påvirker datamaskiner som kjører under Microsoft Windows-operativsystemer. Det sprer seg først og fremst via e-postvedlegg at når henrettet, sender ormen til e-postadresser i den lokale adresseboken. Det er også kopierer seg selv til datamaskinens delte mappen for overføring via peer-to-peer fildelingsnettverk. Den malware har to hovedformål: åpner en bakdør til infiserte PCer for eksternt system kontroll og for å lansere DDoS (denial of service) angrep mot bestemte nettsteder, f.eks SCO Group, Microsoft. Den blokkerer også tilgang til online antivirus nettsider for å forstyrre virus fjerning verktøy eller antivirus programvareoppdateringer.

E-post kvittering

Mydoom kommer som et vedlegg i en e-post med en av følgende filtyper: BAT, CMD, .exe, PIF- SCR eller .zip. E-posten er generert fra en tilfeldig e-postadresse. Faget inneholder vanligvis en feilrelatert meldingen "leveringsfeil", "Feil", "Mail Delivery System" eller "Mail Overføringen mislyktes." Meldingsteksten sier vanligvis at meldingen "ikke kan være representert i 7-bit ASCII-koding og har blitt sendt som en binær vedlegg" for å oppmuntre brukeren til å utføre den vedlagte filen.

feil~~POS=TRUNC

Når vedlegget er utført, vanligvis viser en falsk feil dialogboks, som sier at det ikke er nok minne til å laste ned filen. Notisblokk åpner også med en tekstfil fylt med tilfeldige meningsløse tegn.

Tilsetning av Taskmon.exe

Ormen kopierer seg selv inn i Windows System mappe med navnet "Taskmon.exe", etterfulgt av en tilsvarende oppføring i Windows-registeret. Det setter også opp en linje oppføring i registeret for denne filen til å kjøres automatisk ved oppstart. Taskmon er en legitim fil i Windows 95/98 / Me-operativsystemer, men er lagret i Windows-mappen selv, ikke systemmappen.

Tilsetning av Shimgapi.dll

Ormen skaper også en fil som heter "shimgapi.dll." Dette er filen som tar rollen til proxy-serveren, åpner lytteportene innenfor området 3127 til 3198. Dette bakdør gir også full tilgang til den infiserte datamaskinen, slik at nedlastingen og gjennomføring av vilkårlige filer som bestemmes av hacker.

Eksistensen av Mydoom.exe

Sjekk om en kopi av ormen kjørbare fil på harddisken. Ormen kopierer seg selv, vanligvis under navnet "mydoom.exe" eller "" mydom.exe, "inn i midlertidig mappe på en infisert system.