www.elektronik.si

[Bostjan]

Pozor!!!

Po internetu kroži nov črv, imenovan MIMAIL.R. Širi se preko e-pošte ali Kazaai-a in odpira porte 3127 do 3198 za oddaljeno upravljanje. Hkrati pa zasipa z e-pošto naslov www.sco.com.

Več o virusu, odstranjevanju in online čiščenje na:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R

[Silvo]

Še podroben opis virusa MyDoom.B
Vir Kabi. si



Gre za novo verzijo črva Mydoom, ki se je pojavila 28. januarja 2004. Ta izpeljanka napada naslova SCO.COM in Microsoft.com ter onemogoča dostop do množice spletni strani, tudi do strani www.f-secure.com .
Podroben opis

Črv uporablja enak način skrivanja besedil z uporabo ROT13 kot verzija Mydoom.a . Skopira se v sistemski imenik okolja Windows kot 'explorer.exe' in doda vnos v register.

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = %sysdir%\explorer.exe

če mu to ne uspe, doda:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = %sysdir%\explorer.exe

S tem doseže, da se sproži ob vsakem zagonu računalnika.

Poleg tega skopira dodatno datoteko v:

%sysdir%\ctfmon.dll

Datoteko doda v register pod:

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]

To povzroči, da Explorer vedno naloži ta DLL in le-ta ni viden kot samostojen proces.

Črv kreira mutex z imenom "sync-v1.01__ipcmtx0". Tako zagotovi, da se ne požene večkrat hkrati.

Črv vsebuje besedilo, ki se nikoli ne izpiše:

(sync-1.01; andy; I'm just doing my job, nothing personal, sorry)

Širjenje v omrežju Kazaa

Črv v register pogleda, kateri imenik je v skupni rabi programa Kazaa in se vanj skopira pod imenom, sestavljenim iz besed:

NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final

Podaljški pa so:

.bat
.exe
.scr
.pif

Razpošiljanje po elektronski pošti

Črv nabere naslove, na katere se razpošilja, iz adresarja (Windows Address Book) ter datotek s podaljški:

pl
adb
tbb
dbx
asp
php
sht
htm
txt

Zazna tudi nekatere enostavne oblike prikrivanja naslovov, naprimer " at " nadomesti z znakom "@".

Poslana sporočila imajo naslednje značilnosti:

Zadeva je lahko:

Status
hi
Delivery Error
Mail Delivery System
hello
Error
Server Report
Returned mail

Vsebina je lahko:

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has
been received.

The message contains Unicode characters and has been sent as a binary attachment.

The message contains MIME-encoded graphics and has been sent as a binary attachment.

Mail transaction failed. Partial message is available.

Pripone so sestavljene iz besed:

document
readme
doc
text
file
data
message
body

s podaljški:

pif
scr
exe
cmd
bat

Konec delovanja

Črv se ob zagonu ustavi, če je datum kasnejši od 1. marca 2004 ob 03:18:42 (UTC)

Stranska vrata

Črv se zna poslati na že okužene računalnike. To naredi tako, da pregleda naključno izbrana IP območja (razen rezerviranih) in se poizkusi povezati na vrata 3127 (ki jih odpre verzija Mydoom.a). Če povezava uspe, se skopira na računalnik in požene. Tako se nadgradi verzija črva.

Črv tudi preveri ime trenutnega računalnika preko funkcije gethostbyname(), pretvori ime v IP številko in pregleda računalnike v tem IP območju.

Napadanje

Črv napada strežnik www.microsoft.com od 3. februarja 2004 ob 13:09:18 (UTC) ter www.sco.com od 1. februarja 2004 ob 16:09:18 (UTC) dalje.

DDoS napad na www.sco.com poteka v osmih povezavah hkrati na vsakih 1024 tisočink sekunde.

DDoS napad na www.microsoft.com poteka v 14 povezavah hkrati na vsakih 1024 tisočink sekunde.

Črv na okuženem računalniku spremeni vsebino datoteke hosts, tako da se množica spletnih strani ne odpre več.Vsebina datoteke:

0.0.0.0 engine.awaps.net awaps.net www.awaps.net ad.doubleclick.net
0.0.0.0 spd.atdmt.com atdmt.com click.atdmt.com clicks.atdmt.com
0.0.0.0 media.fastclick.net fastclick.net www.fastclick.net ad.fastclick.net
0.0.0.0 ads.fastclick.net banner.fastclick.net banners.fastclick.net
0.0.0.0 www.sophos.com sophos.com f*p.sophos.com f-secure.com www.f-secure.com
0.0.0.0 f*p.f-secure.com securityresponse.symantec.com
0.0.0.0 www.symantec.com symantec.com service1.symantec.com
0.0.0.0 liveupdate.symantec.com update.symantec.com updates.symantec.com
0.0.0.0 support.microsoft.com downloads.microsoft.com
0.0.0.0 download.microsoft.com windowsupdate.microsoft.com
0.0.0.0 office.microsoft.com msdn.microsoft.com go.microsoft.com
0.0.0.0 nai.com www.nai.com vil.nai.com secure.nai.com www.networkassociates.com
0.0.0.0 networkassociates.com avp.ru www.avp.ru www.kaspersky.ru
0.0.0.0 www.viruslist.ru viruslist.ru avp.ch www.avp.ch www.avp.com
0.0.0.0 avp.com us.mcafee.com mcafee.com www.mcafee.com dispatch.mcafee.com
0.0.0.0 download.mcafee.com mast.mcafee.com www.trendmicro.com
0.0.0.0 www3.ca.com ca.com www.ca.com www.my-etrust.com
0.0.0.0 my-etrust.com ar.atwola.com phx.corporate-ir.net

Pred napadom na Microsoft je dodana vrstica, ki onemogoča odpiranje strani www.microsoft.com:

0.0.0.0 www.microsoft.com

3. februarja črv to vrstico odstrani.

Namen sprememb je, da bi se onemogočil dostop do navedenih spletnih strani.

Podjetje F-Secure je pripravilo orodje, s katerim se lahko zazna in odstrani črva Mydoom. V prilogi: