il blog di iteam5.net

1.2.04

MyDoom il "miglior" virus

MyDoom, conosciuto anche come Novarg o Shimgapi, nelle sue versioni A e B ha infettato i computer di tutto il globo con utenti che hanno aperto un file in attachment che rilascia un programma che potenzialmente permette agli hacker di aver accesso non autorizzato al pc; arriva sotto forma di allegato con estensione file .bat, .cmd, .exe, .pif, .scr, o .zip.
Quando il computer viene infettato, il worm installa la backdoor Shimgapi.dll, che agisce come server proxy nel sistema, aprendo le porte TCP da 3127 a 3198. Ciò rende possibile a un aggressore di connettersi al computer e di utilizzarlo come proxy per accedere alle risorse di rete. La backdoor ha inoltre la capacità di scaricare ed eseguire file.
E' un worm molto educato, attacca molti ma non tutti, infatti:
- Cerca indirizzi e-mail nei file con le estensioni .htm .sht .php .asp .dbx .tbb .adb .pl .wab .txt; ma ignora gli indirizzi che terminano in ".edu", trovato il dominio cambia il nome utente con uno della sua lista.
- Tenta di inviare e-mail utilizzando il proprio motore SMTP. Esegue una ricerca nel server di posta del destinatario per l'invio. Se ciò non riesce utilizza il server di posta locale.
- Quando invia e-mail, evita di inviarle a qualsiasi dominio di un produttore di antivirus o di aziende "amiche","nemiche" o ad accont che possono appartenere a postmaster, webmaster, root, help, admin, in modo da non allertare esperti
- Copia se stesso nella directory di download KaZaA usando nomi di file accattivanti.
- Sovrascrive il file localhost in modo che il computer infetto non scarichi più pubblicità, aggiornamenti antivirus o update microsoft
Il worm eseguirà un attacco di tipo DoS (Denial of Service) a partire da oggi contro SCO (riuscito), martedì contro Microsoft (sventato) che ha messo una taglia da 250mila dollari, come SCO Group sull'autore del virus, che apparente firma il baco con il nome "Andy" ed ha lasciato anche un messaggio nel virus: "Sto solo facendo il mio lavoro, niente di personale, scusate".
W32.Novarg.A@mm / W32.Mydoom.B@mm Removal Tool
norman virus, bitdefender virusinfo, nai.com, viruslist, microsoft, zeusnews

0 Commenti:

Posta un commento

<< Home

Ultime notizie


hai provato la nostra toolbar?

virus, spyware & worm: tutte le news

cerca anche...