Allarme arancione per MyDoom

di
Vincenzo Zaglio
-

La nuova variante ha messo sotto pressione i vari Google, Lycos, Msn, causando un consistente aumento del traffico sulla rete globale. Il worm si installa sul PC e apre una backdoor per ricevere comandi da remoto

27 luglio 2004 E’ di nuovo allarme fra i produttori di antivirus.
Tutti i maggiori operatori stanno infatti diramando bollettini sull’escalation
della diffusione della nuova variante di MyDoom (M, O, o N a
seconda delle dizioni).

Il nuovo worm ha provocato problemi di non poco conto per i più usati
motori di ricerca (Google, Altavista, Lycos, Msn), che spesso indicavano pagine
di errore.

La causa risiede proprio nel virus che va verificare nei motori di ricerca
ogni indirizzo di posta “rubato” dai PC infetti. Risultato? Un aumento
inusuale del traffico di rete e server Web alle prese con pressanti
richieste difficili da soddisfare simultaneamente. Si tratta per certi aspetti
di una sorta di attacco DOS (Denial of Service)

Secondo i maggiori produttori di antivirus, Mydoom.N risulta molto veloce nel
propagarsi via posta elettronica, il che fa prevedere un rallentamento anche
nei server e-mail.

Il worm si propaga via SMTP, verificando la presenza di un
accesso ad Internet ed effettuando poi una connessione ad un server di posta.
Gli indirizzi sono raccolti dalla rubrica di Windows e controllati, come detto,
sui motori di ricerca.

Il worm poi spedisce il messaggio, falsificando il nome del mittente. L’oggetto
appare come una comune notifica di fallimento di consegna, del tipo: “status”,
delivery reports about your e-mail”, o “returned
mail: see transcript for details”.

Per infettare il PC bisogna aprire l’allegato di 28 KB
che ha estensione .ZIP, .BAT, .PIF, .EXE, o .SCR.

Il worm installa una copia di se stesso nella cartella di Windows come JAVA.EXE
e installa il file SERVICES.EXE. Inoltre crea le seguenti chiavi
nel registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
"JavaVM" = %WinDir%\JAVA.EXE;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "Services"
= %WinDir%\SERVICES.EXE;
HKEY_CURRENT_USER\Software\Microsoft\Daemon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon

A questo punto Mydoom.N apre la porta 1034 e si mette in attesa
di comandi da remoto.

Panda Software ha messo a disposizione un tool gratuito PQRemove che può
essere scaricato (previa registrazione) da questo indirizzo

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome