18-08-04 10:56
Crv MyDoom.s, nova inačica neugodnog virusa
piše IVOR MILOŠEVIĆ
Identificirana je nova varijacija virusa MyDoom koji se, u ovoj inačici
distribuira u obliku e-mail privitka s fotografijama.
Crv se koristi svojim SMTP kodom za slanje na adrese prikupljene sa inficiranog računala te koristi 'spoofing' metodu za prikrivanje prave adrese pošiljaoca, čime otežava praćenje tijeka infekcije na mreži.
Nakon infekcije, crv pokušava učitati 'trojanca' sa www.richcolour.com ili zenandjuice.com te tako otvoriti backdoor na inficirano računalo.
Poruka sa MyDoom.s crvom ima slijedeće karateristike:
Subject : photos
Body : LOL!;))))
Attachment : photos_arc.exe
Kada korisnik pokrene privitak, MyDoom.s dodaje datoteku rasor38a.dll u windows direktorij te datoteku winpsd.exe u system direktorij.
Crv dodaje sljedeće stavke u system registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "winpsd" = C:\WINDOWS\System32\winpsd.exe
Više o zaštiti i uklanjanju crva MyDoom.s:
http://techrepublic.com.com/5100-22_11-5312983.html?tag=e101
http://www.sophos.com/support/disinfection/mydooma.html
|
