Mydoom-haittaohjelman variantti leviää

Mydoom-haittaohjelmasta on löydetty uusi muunneltu variantti Mydoom.B. Myös Mydoom.B leviää sähköpostin liitetiedostojen ja Kazaa-vertaisverkon jaettujen kansioiden välityksellä. Haittaohjelman lähettämien ja madon sisältävien sähköpostien otsikkotiedot, sisältöteksti, sekä viestin sisältämät liitetiedostot vaihtelevat. Haittaohjelma estää saastuneen tietojärjestelmän pääsyn mm. virustorjuntayritysten Internet- sivuille. Haittaohjelma aloittaa palvelunestohyökkäyksen www.sco.com Internet-sivuja vastaan 3. helmikuuta 2004 klo 13:09:18 (UTC) ja www.microsoft.com Internet-sivuja vastaan 1. helmikuuta 2004 klo 16:09:18 (UTC).

Haittaohjelma kopioi itsensä Windows System hakemistoon nimellä "explorer.exe" ja lisää tiedostonimen Windows-käyttöjärjestelmän rekisteriin seuraavalla tavalla:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = %SysDir%\explorer.exe

tai epäonnistuessaan:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer"=%sysdir%\explorer.exe

Mydoom.B kopioi Windows System hakemistoon CTFMON.DLL-tiedoston, joka on takaportti.

Mydoom-haittaohjelman lähettämät sähköpostiviestit sisältävät seuraavat tiedot:

Otsikko jokin seuraavista:

Returned mail
Delivery Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
Error
hello
hi

Sisältöteksti jokin seuraavista:

Sendmail daemon reported:
Error #804 occurred during SMTP session. Partial message has been received.

Mail Transaction failed. Partial message available.

The message contains Unicode characters and has been sent as a binary attachment.

The message contains MIME-encoded graphics and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Liitetiedoston tiedostopääte jokin seuraavista (tiedosto saapuu usein ZIP-pakattuna):

pif
scr
exe
cmd
bat

Mydoom.B-haittaohjelman leviäminen Kazaa-vertaisverkon välityksellä tapahtuu siten, että haittaohjelma etsii Windows-käyttöjärjestelmän rekisteristä tietoa Kazaan jaetusta kansiosta ja kopioi itsensä kyseiseen kansioon jollakin seuraavista tiedostonimistä:

NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final

ja jollakin seuraavista tiedostopäätteistä:

.bat
.exe
.scr
.pif

Haittaohjelma poistuu tietojärjestelmästä, kun se ajetaan 1. maaliskuuta 2004 klo 03:18:42 (UTC) jälkeen.

Mydoom.B-haittaohjelma ylikirjoittaa paikallisen hosts tiedoston estääkseen virustorjunta- ja ohjelmistopäivitysten sekä niihin liittyvän tiedon saannin. Seuraavat Internet-sivut uudelleen ohjataan siten ettei niille pääse:

ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com

Varoituksen kohderyhmä

  • Microsoft Windows-käyttöjärjestelmällä varustetut tietojärjestelmät

Ratkaisu- ja rajoitusmahdollisuudet

  • Suojaa tietojärjestelmä virustorjuntaohjelmistolla ja huolehdi virustorjuntatietokannan ajantasaisuudesta

  • Älä avaa sähköpostin liitetiedostoja ilman virustarkastusta

  • Tuhoa välittömästi Mydoom-haittaohjelman sisältämät sähköpostiviestit

  • Vältä vertaisverkko-ohjelmistojen käyttöä ja suhtaudu niiden kautta haettuihin tiedostoihin suurella varauksella

Lisätietoa

http://vil.nai.com/vil/content/v_100988.htm

http://www.f-secure.com/v-descs/mydoom_b.shtml

http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.b@mm.html

http://www3.ca.com/virusinfo/virus.aspx?ID=38114

http://www.sophos.com/virusinfo/analyses/w32mydoomb.html

http://fi.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_MYDOOM.B

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248