A Trend Micro közepes szintű riasztást adott ki a WORM_MYDOOM.M féregről

forrás Prim Online, 2004. július 27. 19:10
A MYDOOM egy barátságos figyelmeztetést jelenít meg "Messages Could Not be Delivered“ (az üzenetek nem kézbesíthetők) szöveggel, és a felhasználók nyugtalanságára épít.
2004. július 26-án, hétfőn, a Trend Micro közepes szintű riasztást adott ki a WORM_MYDOOM.M féreghez kapcsolódóan, hogy felhívja a figyelmet erre az SMTP alapú tömeges levélküldő féregre, amely kézbesítési figyelmeztetésnek vagy "vissza a feladóhoz" értesítésnek álcázza magát. A férget Európában és az Egyesült Államokban észlelték.

A WORM_MYDOOM.M e-mail használatával, SMTP protokollon keresztül terjed úgy, hogy először ellenőrzi az internetkapcsolat elérhetőségét, majd egy levéltovábbítón keresztül kapcsolódik. A megcélzott címeket a fertőzött rendszer Windows Címjegyzékéből veszi ki, és a Google és Yahoo keresőkhöz hasonló oldalakon keresztül ellenőzi. A féreg a küldő nevét jeleníti meg a kiküldött e-mailek feladójaként.

A tárgy mezőben szereplő szöveg egy szokványos, sikertelen kézbesítésről szóló üzenethez hasonlít, amelynek szövege "status:“ (állapot), "delivery reports about your e-mail“ (kézbesítési jelentés az Ön által küldött e-mailről) vagy "returned mail: see transcript for details“ (vissza a feladóhoz, részletek a forgalmazási naplóban). Ez az üzenet a felhasználót a csatolt fájl megtekintésére veszi rá.

"Az emberek általában nyugtalanná válnak, ha úgy gondolják, hogy üzenetük nem jutott el a címzetthez - a vírus készítője ezt a felhasználói viselkedést használja ki,“ - magyarázta Joe Hartmann, a Trend Micro vezető víruskutatója és -elemzője. A 2004. január végén ismertté vált WORM_MYDOOM.A is a rendszergazdától származó hivatalos értesítésnek tüntette fel magát.

Az üzenet szövege figyelmeztetéseket tartalmaz, amely szerint a felhasználó számítógépe veszélyeztetett, és előfordulhat, hogy tömeges levélküldésre használják. A szakértők szerint a rosszindulatú kódok tőkét kovácsolnak abból, hogy a felhasználók igen nyugtalanítónak találják, ha számítógépüket spam levelek rejtett proxy szervereken keresztül történő küldésére használják.

Az eredeti WORM_MYDOOM.A féreghez hasonlóan a WORM_MYDOOM.M egy .ZIP, .BAT, .PIF, .EXE vagy .SCR kiterjesztésű fájlban érkezik, bár a fájlnév generálása abból a címből történik, amelyre a féreg el szeretné küldeni magát, így a kiszemelt áldozat számára lényegesnek tűnik. Miután a fertőzött számítógépbe kerül, a féreg egy JAVA.EXE fájlba helyezi el magát a Windows mappában, és a rendszerleíró adatbázisba elhelyez egy automatikus futtatás bejegyzést a rendszer indításakor történő futtatáshoz. A WORM_MYDOOM.M 28 KB méretű csatolt fájlként érkezik. Windows 98, ME, NT, 2000 és XP platformokon fut. Ez a féreg a következő neveken is ismert: W32/Mydoom.O@MM és Mydoom.M.

A Trend Micro ügyfelei védettek e fenyegetés ellen a 945-ös vagy újabb mintafájl használata esetén. Az Outbreak Prevention Services ügyfelek az OPP 123 (vagy újabb) fertőzésmegelőzési házirend letöltésével védekezhetnek e fenyegetés terjedése ellen. A Damage Cleanup Services (kárelhárítási szolgáltatások) ügyfelek a 384-es számú sablonfájl letöltésével könnyíthetik meg az érintett rendszerek automatikus helyreállítását. A Trend Micro Vulnerability Assessment és Network VirusWall mintafájlok is támogatni fogják a WORM_MYDOOM.M felismerését.
Kulcsszavak: vírus Trend Micro

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Törj be a digitális élvonalba: Nevezd ’Az Év Honlapja’ pályázatra!

2024. november 5. 11:59

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51