A Trend Micro közepes szintű riasztást adott ki a WORM_MYDOOM.M féregről
forrás Prim Online, 2004. július 27. 19:10
A MYDOOM egy barátságos figyelmeztetést jelenít meg "Messages Could Not
be Delivered“ (az üzenetek nem kézbesíthetők) szöveggel, és a
felhasználók nyugtalanságára épít.
2004. július 26-án, hétfőn, a Trend Micro közepes szintű riasztást adott ki a WORM_MYDOOM.M féreghez kapcsolódóan, hogy felhívja a figyelmet erre az SMTP alapú tömeges levélküldő féregre, amely kézbesítési figyelmeztetésnek vagy "vissza a feladóhoz" értesítésnek álcázza magát. A férget Európában és az Egyesült Államokban észlelték.
A WORM_MYDOOM.M e-mail használatával, SMTP protokollon keresztül terjed úgy, hogy először ellenőrzi az internetkapcsolat elérhetőségét, majd egy levéltovábbítón keresztül kapcsolódik. A megcélzott címeket a fertőzött rendszer Windows Címjegyzékéből veszi ki, és a Google és Yahoo keresőkhöz hasonló oldalakon keresztül ellenőzi. A féreg a küldő nevét jeleníti meg a kiküldött e-mailek feladójaként.
A tárgy mezőben szereplő szöveg egy szokványos, sikertelen kézbesítésről szóló üzenethez hasonlít, amelynek szövege "status:“ (állapot), "delivery reports about your e-mail“ (kézbesítési jelentés az Ön által küldött e-mailről) vagy "returned mail: see transcript for details“ (vissza a feladóhoz, részletek a forgalmazási naplóban). Ez az üzenet a felhasználót a csatolt fájl megtekintésére veszi rá.
"Az emberek általában nyugtalanná válnak, ha úgy gondolják, hogy üzenetük nem jutott el a címzetthez - a vírus készítője ezt a felhasználói viselkedést használja ki,“ - magyarázta Joe Hartmann, a Trend Micro vezető víruskutatója és -elemzője. A 2004. január végén ismertté vált WORM_MYDOOM.A is a rendszergazdától származó hivatalos értesítésnek tüntette fel magát.
Az üzenet szövege figyelmeztetéseket tartalmaz, amely szerint a felhasználó számítógépe veszélyeztetett, és előfordulhat, hogy tömeges levélküldésre használják. A szakértők szerint a rosszindulatú kódok tőkét kovácsolnak abból, hogy a felhasználók igen nyugtalanítónak találják, ha számítógépüket spam levelek rejtett proxy szervereken keresztül történő küldésére használják.
Az eredeti WORM_MYDOOM.A féreghez hasonlóan a WORM_MYDOOM.M egy .ZIP, .BAT, .PIF, .EXE vagy .SCR kiterjesztésű fájlban érkezik, bár a fájlnév generálása abból a címből történik, amelyre a féreg el szeretné küldeni magát, így a kiszemelt áldozat számára lényegesnek tűnik. Miután a fertőzött számítógépbe kerül, a féreg egy JAVA.EXE fájlba helyezi el magát a Windows mappában, és a rendszerleíró adatbázisba elhelyez egy automatikus futtatás bejegyzést a rendszer indításakor történő futtatáshoz. A WORM_MYDOOM.M 28 KB méretű csatolt fájlként érkezik. Windows 98, ME, NT, 2000 és XP platformokon fut. Ez a féreg a következő neveken is ismert: W32/Mydoom.O@MM és Mydoom.M.
A Trend Micro ügyfelei védettek e fenyegetés ellen a 945-ös vagy újabb mintafájl használata esetén. Az Outbreak Prevention Services ügyfelek az OPP 123 (vagy újabb) fertőzésmegelőzési házirend letöltésével védekezhetnek e fenyegetés terjedése ellen. A Damage Cleanup Services (kárelhárítási szolgáltatások) ügyfelek a 384-es számú sablonfájl letöltésével könnyíthetik meg az érintett rendszerek automatikus helyreállítását. A Trend Micro Vulnerability Assessment és Network VirusWall mintafájlok is támogatni fogják a WORM_MYDOOM.M felismerését.