 |  |
 |
Nick: `RAdIEsH`
Oggetto: ALLARME ROSSO: W32/Mydoom.A
Data: 31/1/2004 10.2.39
Visite: 137
Obiettivo di Mydoorm è quello di far collassare il parco informatico, causando ingenti danni ad ogni livello.
Mydoom.A arriva con un messaggio di posta elettronica con un file in allegato. Quando il documento viene aperto il computer risulta infettato ed invia il messaggio a tutti gli indirizzi dell'agenda.
In una fase successiva apre la porta TCP 3127 del pc permettendo il potenziale controllo dall'esterno. Il worm cerca gli indirizzi di posta elettronica nei file che hanno le seguenti estensioni: HTM, SHT, PHP, ASP, DBX, TBB, ADB, PL, WAB, TXT. Si invia per posta elettronica utilizzando il suo motore SMTP.
Sembra che questo worm sia studiato per lanciare un attacco DoS al sito www.sco.com per il prossimo 1° febbraio.
Il contenuto del messaggio è variabile e può essere composto dalle seguenti frasi:
Oggetto:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Corpo: Mail Transaction Failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
Nome del file in allegato:
document
readme
doc
text
file
data
test
message
body
Estensione del file allegato:
.pif
.scr
.exe
.cmd
.bat
.zip
Una volta colpito il pc, se l'utente usa la rete P2P KaZaa, copia un file nella directory condivisa che permette una distribuzione attraverso questo sistema. Questi file possono avere uno dei seguenti nomi:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
e l'estensione .PIF, .SCR o .BAT.
tool di rimozione
http://download1.avast.com/files/eng/aswclnr.exe
