( opgelet! ) alle kazaa gebruikers

Mydoom is een internetworm die zich verspreidt via e-mail en via het peer 2 peer netwerk van Kazaa. Alle eigenschappen van het e-mailbericht varieren. Daardoor is het lastig te herkennen. Het icoontje van het bijlagebestand is meestal die van een tekstbestand, ookal is het een .exe, .pif, .cmd of .scr bestand.


Na installatie wordt een backdoor geinstalleerd, op poort 3127 t/m 3198 wordt gewacht op instructies van de virusschrijver.
Uit te voeren acties zouden kunnen zijn:
* Het vastleggen van toetsbord-aanslagen
* Het openen en verwijderen van geinstalleerde software c.q. bestanden.
* Het uitvoeren van een dDOS aanval, startend op 1 februari 2004

Eigenschappen van het e-mailbericht:

* Afzender: [wisselend, kan ook een nep-adres zijn]

* Onderwerp: Subject:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

* Tekst van het bericht:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

* Naam bijlagebestand:
document
readme
doc
text
file
data
test
message
body

met 1 van de volgende extensies:
.pif
.scr
.exe
.cmd
.bat
.zip

Herkenning van besmetting:

Bestanden

1a. Aanwezigheid van een van onderstaande bestanden in de standaard shared directory van Kazaa:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

1b. Aanwezigheid van het bestand "taskmon.exe" in de Windows\System directory. (c:\Windows\System)
** let wel: deze bestandsnaam wordt ook door Windows gebruikt, u vindt dit bestand op de locatie C:\Windows

Registry

2a. Creatie van de registry-sleutel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
met de waarde:
"TaskMon" = [locatie bestand]\taskmon.exe


boba ? jij had een probleem toch ?:s


bron : http://www.virusalert.nl/?show=virus...=W32.Mydoom@MM

[niemand]

Citaat:

Originally posted by siNix
*knip interrasante info*


bron : http://www.virusalert.nl/?show=virus...=W32.Mydoom@MM

ik had pas kazaa weer gedownlooit, kon ik nix downlooien,, kan dit kloppe?? of komt het hierdoor??

Citaat:

Originally posted by siNix


1b. Aanwezigheid van het bestand "taskmon.exe" in de Windows\System directory. (c:\Windows\System)
** let wel: deze bestandsnaam wordt ook door Windows gebruikt, u vindt dit bestand op de locatie C:\Windows

Registry

2a. Creatie van de registry-sleutel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
met de waarde:
"TaskMon" = [locatie bestand]\taskmon.exe


boba ? jij had een probleem toch ?:s


bron : http://www.virusalert.nl/?show=virus...=W32.Mydoom@MM

Pardon, Taskmon.exe is _geen_ windows bestand en het zou staan in de windows\system32 directory, maar die kan je dus zonder meer verwijderen, dat bestand dan he

Jij bent in de war met taskman.exe

Citaat:

Originally posted by Niemand
ik had pas kazaa weer gedownlooit, kon ik nix downlooien,, kan dit kloppe?? of komt het hierdoor??

alsje wat gedownload heb ... van kazaa.... dan vrees ik dat je ff voor de zekerheid naar de onderstepagina van die site moet surven

mteen liveupdate
en checkt files

[niemand]

Citaat:

Originally posted by siNix
alsje wat gedownload heb ... van kazaa.... dan vrees ik dat je ff voor de zekerheid naar de onderstepagina van die site moet surven

laatste x dak wat heb gedownload is vorig jaar.. dus zal wel niet hierdoor komme.. hoop ik

[Kampie]

C&I >>

Citaat:

Originally posted by Niemand
laatste x dak wat heb gedownload is vorig jaar.. dus zal wel niet hierdoor komme.. hoop ik

wees blij ...
ik ben blij dat ik perongelijk me regkeys uit kazaa gegooit heb

Citaat:

Originally posted by WhizzCat
Pardon, Taskmon.exe is _geen_ windows bestand en het zou staan in de windows\system32 directory, maar die kan je dus zonder meer verwijderen, dat bestand dan he

Jij bent in de war met taskman.exe

[dext0r]

spam virus
met smtp engine, welke ddos attack zal uitvoeren op SCO

lachen wormpje hoor :/

[ik_ben_de_man]

Citaat:

Originally posted by Niemand
ik had pas kazaa weer gedownlooit, kon ik nix downlooien,, kan dit kloppe?? of komt het hierdoor??

je moet tegenwoordig betalen om kazaa te kunnen downloaden ,

Citaat:

Originally posted by ik_ben_de_man
je moet tegenwoordig betalen om kazaa te kunnen downloaden ,

als je niet beter weet wel....
zoek en gij vindt alles gratis

ik heb wel een taskmon iets in mn pc als ik die weg wil gooien zegt ie dat dat niet kan, want hij is in gebruik door windows... wat moet ik nu doen dan

taskmon afzette zodat hij niet meer in gebruik is..

Citaat:

Originally posted by Misette
ik heb wel een taskmon iets in mn pc als ik die weg wil gooien zegt ie dat dat niet kan, want hij is in gebruik door windows... wat moet ik nu doen dan

kijken of je hm via de taskman (met a ipv o) uit kan zetten en dan nog es proberen te verwijderen.
et verschilt een beetje tussen de windows versies hoe dat moet. als je dr niet uit komt horen we et wel

[ik_ben_de_man]

Citaat:

Originally posted by not-known
als je niet beter weet wel....
zoek en gij vindt alles gratis

duh.... het is alleen de bedoeling dat je ervoor gaat betalen.

Citaat:

Originally posted by ik_ben_de_man
duh.... het is alleen de bedoeling dat je ervoor gaat betalen.

mjah dat willen zoveel bedrijven, maar ja dat zijn kansloze acties.. vooral bij een p2p programma wat zelf al twijfelachtig is qua legaliteit. Mocht je die kraken dan zullen de makers weinig te klagen kunnen hebben

[koelkast]

Citaat:

Originally posted by dext0r
spam virus
met smtp engine, welke ddos attack zal uitvoeren op SCO

lachen wormpje hoor :/

het is een beauty kan zichzelf vermomen met een stukje AI en met eigen smtp engine in zo een klein stukje code met ook nog eens een egine onbourd om een Ddos te starten.

ben benieuwd naar de source

Citaat:

Originally posted by koelkast
het is een beauty kan zichzelf vermomen met een stukje AI en met eigen smtp engine in zo een klein stukje code met ook nog eens een egine onbourd om een Ddos te starten.

ben benieuwd naar de source

mja als je het dieper gaat uitpluizen dan zie je al gauw dat er veel standaard libs worden gebruikt uit windows zelf. het is vaak gewoon een kwestie van de goede calls maken en waar nodig de rommel aanvullen.
een bijkomend voordeel is ook nog dat de geïmplenteerde services alleen hetgene moeten kunnen doen die ze moeten: smtp moeten mailen... security, mail ontvangen, flood beperking, etc... al die dingen heb je niet nodig.
uiteindelijk zie je dat het best klein kan, als je het maar handig genoeg aanpakt

Citaat:

Originally posted by Misette
ik heb wel een taskmon iets in mn pc als ik die weg wil gooien zegt ie dat dat niet kan, want hij is in gebruik door windows... wat moet ik nu doen dan

Weet je _heel_ zeker dat niet "taskman.exe" probeert te verwijderen ipv. taskmon.exe??

Dat bestandje met 2 a's is essentieel voor windows...