( opgelet! ) alle kazaa gebruikers

Mydoom is een internetworm die zich verspreidt via e-mail en via het peer 2 peer netwerk van Kazaa. Alle eigenschappen van het e-mailbericht varieren. Daardoor is het lastig te herkennen. Het icoontje van het bijlagebestand is meestal die van een tekstbestand, ookal is het een .exe, .pif, .cmd of .scr bestand.


Na installatie wordt een backdoor geinstalleerd, op poort 3127 t/m 3198 wordt gewacht op instructies van de virusschrijver.
Uit te voeren acties zouden kunnen zijn:
* Het vastleggen van toetsbord-aanslagen
* Het openen en verwijderen van geinstalleerde software c.q. bestanden.
* Het uitvoeren van een dDOS aanval, startend op 1 februari 2004

Eigenschappen van het e-mailbericht:

* Afzender: [wisselend, kan ook een nep-adres zijn]

* Onderwerp: Subject:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

* Tekst van het bericht:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

* Naam bijlagebestand:
document
readme
doc
text
file
data
test
message
body

met 1 van de volgende extensies:
.pif
.scr
.exe
.cmd
.bat
.zip

Herkenning van besmetting:

Bestanden

1a. Aanwezigheid van een van onderstaande bestanden in de standaard shared directory van Kazaa:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

1b. Aanwezigheid van het bestand "taskmon.exe" in de Windows\System directory. (c:\Windows\System)
** let wel: deze bestandsnaam wordt ook door Windows gebruikt, u vindt dit bestand op de locatie C:\Windows

Registry

2a. Creatie van de registry-sleutel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
met de waarde:
"TaskMon" = [locatie bestand]\taskmon.exe


boba ? jij had een probleem toch ?:s


bron : http://www.virusalert.nl/?show=virus...=W32.Mydoom@MM