Mydoom is een internetworm die zich verspreidt via e-mail en via het peer 2 peer netwerk van Kazaa. Alle eigenschappen van het e-mailbericht varieren. Daardoor is het lastig te herkennen. Het icoontje van het bijlagebestand is meestal die van een tekstbestand, ookal is het een .exe, .pif, .cmd of .scr bestand.
Na installatie wordt een backdoor geinstalleerd, op poort 3127 t/m 3198 wordt gewacht op instructies van de virusschrijver.
Uit te voeren acties zouden kunnen zijn:
* Het vastleggen van toetsbord-aanslagen
* Het openen en verwijderen van geinstalleerde software c.q. bestanden.
* Het uitvoeren van een dDOS aanval, startend op 1 februari 2004
Eigenschappen van het e-mailbericht:
* Afzender: [wisselend, kan ook een nep-adres zijn]
* Onderwerp: Subject:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
* Tekst van het bericht:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
* Naam bijlagebestand:
document
readme
doc
text
file
data
test
message
body
met 1 van de volgende extensies:
.pif
.scr
.exe
.cmd
.bat
.zip
Herkenning van besmetting:
Bestanden
1a. Aanwezigheid van een van onderstaande bestanden in de standaard shared directory van Kazaa:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
1b. Aanwezigheid van het bestand "taskmon.exe" in de Windows\System directory. (c:\Windows\System)
** let wel: deze bestandsnaam wordt ook door Windows gebruikt, u vindt dit bestand op de locatie C:\Windows
Registry
2a. Creatie van de registry-sleutel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
met de waarde:
"TaskMon" = [locatie bestand]\taskmon.exe
boba ? jij had een probleem toch ?:s
bron :
http://www.virusalert.nl/?show=virus...=W32.Mydoom@MM