|
Computers & Internet Problemen met je computer, of weet je niet welke router nu te moeten installeren voor je breedbandje? Dit, en andere zaken vind je hier! |
|
Onderwerpopties | Stem op Onderwerp | Weergavemodus |
![]() |
#1 |
Guest
Berichten: n/a
|
![]()
Mydoom is een internetworm die zich verspreidt via e-mail en via het peer 2 peer netwerk van Kazaa. Alle eigenschappen van het e-mailbericht varieren. Daardoor is het lastig te herkennen. Het icoontje van het bijlagebestand is meestal die van een tekstbestand, ookal is het een .exe, .pif, .cmd of .scr bestand.
Na installatie wordt een backdoor geinstalleerd, op poort 3127 t/m 3198 wordt gewacht op instructies van de virusschrijver. Uit te voeren acties zouden kunnen zijn: * Het vastleggen van toetsbord-aanslagen * Het openen en verwijderen van geinstalleerde software c.q. bestanden. * Het uitvoeren van een dDOS aanval, startend op 1 februari 2004 Eigenschappen van het e-mailbericht: * Afzender: [wisselend, kan ook een nep-adres zijn] * Onderwerp: Subject: test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error * Tekst van het bericht: Mail transaction failed. Partial message is available. The message contains Unicode characters and has been sent as a binary attachment. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. * Naam bijlagebestand: document readme doc text file data test message body met 1 van de volgende extensies: .pif .scr .exe .cmd .bat .zip Herkenning van besmetting: Bestanden 1a. Aanwezigheid van een van onderstaande bestanden in de standaard shared directory van Kazaa: winamp5 icq2004-final activation_crack strip-girl-2.0bdcom_patches rootkitXP office_crack nuke2004 1b. Aanwezigheid van het bestand "taskmon.exe" in de Windows\System directory. (c:\Windows\System) ** let wel: deze bestandsnaam wordt ook door Windows gebruikt, u vindt dit bestand op de locatie C:\Windows Registry 2a. Creatie van de registry-sleutel: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run met de waarde: "TaskMon" = [locatie bestand]\taskmon.exe boba ? jij had een probleem toch ?:s bron : http://www.virusalert.nl/?show=virus...=W32.Mydoom@MM Laatst aangepast door siNix : 27 January 2004 om 22:21 |
![]() |