Újabb féreg terjed az interneten

Bejelentés

Valamikor éjszaka észlelték először a W32/MyDoom-A férget, a legtöbb vírusírtó csapat hamar ki is adta a hozzá tartozó signature filet. Érdemes minden vírusellenőrzést is végző SMTP szerveren frissíteni a vírusdefiníciós adatbázisokat. Röviden a kártevőről:Ismerik még mint: Mimail.R, Novarg.A, Shimg, W32.Novarg.A@mm, W32/Mydoom@MM

A féreg e-mailen keresztül terjed, összegyűjti a címeket a winchesterről, majd véletlenszerűen kiválaszt egy-egy címet, s ezek kerülnek a terjedő levél Feladó (From) és Címzett (To) mezőibe. Mivel a Feladó hamisított, ezért nem lehetsz biztos abban, hogy pontosan honnan is érkezett a levél.

A fertőző levél minden esetben tartalmaz egy csatolt állományt, melynek álkiterjesztései a következők lehetnek: bat, cmd, exe, pif, scr, zip. A valódi kiterjesztés azonban vagy exe vagy zip. Pl.: document.bat.exe

A féreg elhelyezi magát a Windows System könyvtárában, taskmon.exe néven, valamint szintén ott létrehoz egy shimgapi.dll-t, amely egy backdoor-t nyit a gépen. Ezen a hátsó ajtón azután kivülről be lehet lépni a megfertőzött gépre. Az ehhez használt port: 3127/TCP. Ezen kívül a worm beírja magát a registrybe, így eléri azt, hogy minden egyes gépindításkor elindulhat.

Bővebb leírás, és az eltávolítás menete: http://www.sophos.com/virusinfo/analyses/w32mydooma.html

Tudom, hogy a hírnek nem sok köze van a Unix/Linux világához, hacsak annyi nem, hogy a levéltovábbító szerverek nagyrésze szerencsére (? :-) a fenti két rendszeren működik, és nem elhanyagolható részükön fut valamilyen vírusellenőrző szoftver is.

( Chip | 2004. 01. 27., k – 12:02 )

Ez akar kimehet a Linuxos kozosseg lejaratasara is...

"...ezt mindenki tudja...", csak az SCO majd nem fog akarni tudni róla mikor a bírósági tárgyalásra kerül a sor. Már látom előre a következő "sajtóközleményüket". Ezzel fogják majd igazolni a multkori blődlit [www.osaia.org], miszerint a Linux és a szabad szoftverek általában fenyegetik a USA nemzetbiztonságát, meg a gazdaságot meg mindent...

Majd február 1-én szépen leállítják a webszervereiket, és utána elpanaszolják a bíróságon, hogy a "gonosz terrorista vírusíró linuxosok" hány millió dollár kárt okoztak nekik. :)

Nagyon LOL egyébként az is, ahogy a weboldalukon [www.sco.com] még mindig a UnitedLinux tagjaként tűntetik fel magukat. De biztos nem én vagyok az első aki ezt észreveszi...

Egyébként a slashdoton [slashdot.org] (arra kell rákeresni, hogy "Funny things on the inside") néhányan megnézegették a stringeket a vírusban és azt találták, hogy a vírus írója kifejezetten úgy akarja feltüntetni, mintha ő linuxos lenne és linuxos eszközökkel készítette volna. Viszont például az SMTP protokol kezeléséhez használatos stringeket nem találni meg benne, tehát a lényeg nyilván valahogy titkosítva szerepel benne, ami plaintextben van az meg szándékos félreveztés.

( n0b0dy | 2004. 01. 27., k – 18:58 )

Ne nevezzétek már féregnek azt a szerencsétlen szoftvert. A féreg az az SCO-n belül van, és nem "W32/MyDoom-A" a neve. Szóval sértés a "W32/MyDoom-A"-ra nézve, hogy őt nevezik féregnek.

( LiRul v | 2004. 01. 27., k – 11:36 )

Köszi trey a kiegészítést, úgy látszik érdemes véginézni a nagyobb vírusírtó cégek advisorjait...