Antyunixowy robak
2004-01-27 12:08
Nowy, groźny robak W32/Mydoom.A. worm rozsyła się załączony do e-maila jako plik z rozszerzeniem .bat, .cmd, .exe, .pif, .scr, lub .zip. Został tak zaprogramowany, aby 1. lutego samoczynnie przystąpić do ataku hakerskiego (DoS) na serwer www.sco.com. Z kolei 12. lutego ma przestać się rozprzestrzeniać.
Przeczytaj także: Złośliwy robak Bagle
Nazwa: W32/Mydoom.A.wormInne nazwy: I-Worm/Novarg, WORM_MIMAIL.R W32/Mydoom@MM I-Worm/Novarg@MM
W32/Mydoom.A.worm jest robakiem, który rozsyła się na skalę masową. Dostaje się on na komputer ofiary załączony do e-maila jako plik z rozszerzeniem .bat, .cmd, .exe, .pif, .scr, lub .zip.
Po aktywacji, robak umieszcza w folderze systemowym pliki Taskmon.exe oraz shimgapi.dll i otwiera na komputerze ofiary porty TCP (o numerach od 3127 do 3198). W ten sposób umożliwia hakerom nawiązanie połączenia z zainfekowanym komputerem i, poprzez wykorzystanie go jako serwer proxy, dostęp do wykorzystywanych przez jego użytkownika zasobów sieciowych. Możliwe jest także zdalne uruchomienie dowolnej aplikacji na zainfekowanym komputerze.
Robak został tak zaprogramowany, aby 1. lutego samoczynnie przystąpić do ataku hakerskiego (DoS) na serwer firmy , jednego z największych dostawców systemu operacyjnego Unix na świecie. Z kolei 12. lutego ma przestać się rozprzestrzeniać.
"Dyskusja wokół SCO rozpoczęła się po oświadczeniu firmy w grudniu ubiegłego roku, że system operacyjny Linux naruszył własność intelektualną Unix. Przez wiele osób zostało to odebrane jako atak ze strony SCO" - komentuje Mikko Happonen, dyrektor laboratorium antywirusowego w firmie F-Secure - "Najwyraźniej ktoś z nich zdecydował się odpowiedzieć atakiem na atak".
Wiadomość przenosząca robaka wygląda następująco:
Temat (jeden z poniższych):
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Tekst (jeden z poniższych):
Mail Transaction Failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Załącznik:
nazwa (jedna z poniższych):
document
readme
doc
text
file
data
test
message
body
rozszerzenie (jedno z poniższych):
pif
scr
exe
cmd
bat
zip
Mydoom.A rozprzestrzenia się także za pośrednictwem sieci P2P zapisując się w folderze współdzielonym przez użytkowników programu Kazaa pod jedną z poniższych nazw:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Pliki zawierają rozszerzenie (pif, scr lub bat).
Narzędzie do usuwanie tego uciążliwego robaka można znaleźć pod adresem:
.
Przeczytaj także:
Poczta elektroniczna pod ostrzałem. 5 najczęstszych form ataku
oprac. : Beata Szkodzin / eGospodarka.pl
Więcej na ten temat:
robaki