Valutazione di rischio medio per la nuova variante del worm. Sfrutta la vulnerabilità IFRAME di Internet Explorer
Da McAfee arriva una valutazione di rischio medio per la nuova variante di Mydoom.
La nuova versione (Mydoom.AH) è un worm di tipo mass mailing
che sfrutta la vulnerabilità
di Internet Explorer scoperta qualche giorno fa e relativa al tag
IFRAME.
I messaggi con Mydoom.AH non contengono un file allegato (a
differenza dei “vecchi” Mydoom), ma un link per indirizzare i destinatari
a una macchina infetta. Se si apre il link con Internet Explorer, il sistema
della vittima verrà infettato.
Il worm dispone di un proprio motore SMTP, va a raccogliere gli indirizzi di
posta dai file locali e li utilizza nel campo “Da” per autoinviarsi,
producendo un messaggio con mittente falsificato.
Questi i possibili contenuti del subject:
• hi!
• hey!
• Confirmation
• blank
Mentre questo è il corpo del testo:
Congratulations! PayPal has successfully charged $175 to your credit card.
Your order tracking number is A866DEC0, and your item will be shipped within
three business days.
To see details please click this link .
DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an automated
message system and the reply will not be received.
Thank you for using PayPal
oppure il seguente:
Hi! I am looking for new friends.
My name is Jane, I am from Miami, FL.
See my homepage with my weblog and last webcam photos!
See you!
o ancora:
Hi! I am looking for new friends. I am from Miami, FL. You can see my
homepage with my last webcam photos!
Il worm, una volta avviato, si duplica sulla directory di Windows con un nome
di file a caso che termina in 32.exe. Viene poi creata una
chiave nel registro di sistema per caricare il virus allo startup del sistema,
come:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
.
CurrentVersion\Run "Reactor3"
= C:\WINDOWS\System32\heztiv32.exe
Per maggior informazioni fate riferimento a questa pagina di McAfee.