Sicurezza  »  Virus 

Danni: Consumo di banda per l'autoinvio, DoS verso motori di ricerca, apertura backdoor

In Breve
MyDoom.M (per altri MyDoom.O) è la nuova versione del virus MyDoom che ha causato la breve interruzione del servizio dei principali motori di ricerca sul Web, tra cui Google. Il Worm si trasmette attraverso un allegato infetto ad una e-mail e, oltre ad autoinviarsi ad altri indirizzi e-mail rallentando le normali operazioni del computer e aumentando l'infezione, apre anche una backdoor sul computer infettato, lasciando aperta la possibilità di una nuova infezione.

Attivazione
Il worm si attiva eseguendo l'allegato che presenta varie estensioni: .CMD, .COM, .BAT, .SCR, .ZIP, .PIF, .EXE. L'e-mail varia come soggetto, come mittente e come corpo del messaggio anche se conservano caratteristiche comuni. Un esempioi di e-mail infetta ricevuta ed identificata dal sistema antivirus di HTML.it è il seguente:

Delivered-To: virus@html.it
From: "The Post Office"
To: g.dotta@html.it
Subject: Message could not be delivered
Date: Tue, 27 Jul 2004 09:39:21 +0100
X-Mailer: Microsoft Outlook Express 6.00.2600.0000



The message was undeliverable due to the following reason(s):

Your message was not delivered because the destination server was
unreachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.

Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.

Your message could not be delivered within 3 days:
Host 178.182.193.194 is not responding.

The following recipients could not receive this message:


Please reply to postmaster@html.it
if you feel this message to be in error.


Allegato: text.scr

Azioni
Il worm, dopo l'attivazione, compie le seguenti operazioni:

• Copia se stesso nella directory di Windows con il nome java.exe e services.exe
• Scansiona i file dell'Hard Disk alla ricerca di indirizzi e-mail per l'autoinvio (10 tipologie di file diversi, da .asp a .php)
• Si autoinvia falsificando l'indirizzo mittente agli indirizzi trovati nei file scansionati attraverso un proprio server SMTP
• Cerca di recuperare altri indirizzi e-mail inviando richieste ai motori di ricerca Lycos, Yahoo!, Google e Altavista
• Apre una backdoor sulla porta 1034

Attraverso la chiave HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run i file java.exe e services.exe vengono attivati ad ogni avvio di Windows.

Rilevamento
Il worm può essere rilevato se nel computer viene reperito (attraverso una ricerca tra i file) il file java.exe o services.exe nella directory di Windows (solitamente c:\Windows o c:\Winnt). Da ricordare che in Windows XP e 2000 è presente un legittimo file di sistema services.exe nella directory di sistema di Windows, mentre in Windows 98 potrete imbattervi in un file Services, altrettanto legittimo, presente nella directory di Windows.

Rimozione
Per rimuovere il virus si può utilizzare un tool di rimozione messo a disposizione gratuitamente dalle case produttrici di antivirus. Una lista è presente ad inizio scheda.

Altri articoli

Altri virus