A Mydoom féreg továbbra sem adja fel a küzdelmet, ugyanis egy újabb variáns formájában, elektronikus leveleken keresztül ismét gyorsan kezdett terjedni.
A Mydoom.BU féreg - hasonlóan az elődeihez - a saját SMTP komponensének segítségével küldött elektronikus levelekben terjed. A féreg a szükséges email címeket a megfertőzött számítógép különböző fájljaiból gyűjti össze. A Mydoom.BU egy hátsó kaput nyit a fertőzött számítógépeken, amely IRC-n keresztül biztosít jogosulatlan hozzáférést a fertőzött rendszerhez. A féreg leállítja az antivírus szoftverekhez valamint az egyéb biztonsági alkalmazásokhoz tartozó folyamatokat, és weboldalakat tesz elérhetetlenné a fertőzött számítógépekről.
A Mydoom.BU további ismert nevei: W32/Mytob.be@MM [McAfee], W32/Mytob-L [Sophos], WORM_MYTOB.FC [Trend Micro]
A Mydoom.BU amikor elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows System könyvtárába nec.exe néven.
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \
RunServices
kulcsához hozzáadja a
"WINDOWS SYSTEM" = "nec.exe" értéket.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedA ccess
kulcsához hozzáadja a
"Start" = "4" értéket.
4. Csatlakozik egy irc.blackcarder.net nevű IRC szerverhez, majd várakozik a támadók parancsaira, akik az alábbi műveleteket hajthatják végre:
- fájlok letöltése és végrehajtása
- a fertőzött számítógép újraindítása
5. A Windows címjegyzékéből és különböző kiterjesztésű fájlokból összegyűjti az email címeket. Ezekre a saját SMTP komponensének segítségével továbbküldi magát.
A fertőzött levelek tárgya lehet:
Notice: **Last Warning**
*DETECTED* Online User Violation
Your Email Account is Suspended For Security Reasons
Account Alert
Important Notification
*WARNING* Your Email Account Will Be Closed
Security measures
Email Account Suspension
Notice of account limitation
A fertőzött levelek üzenete lehet:
Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.
The original message has been included as an attachment.
We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
We attached some important information regarding your account.
Please read the attached document and follow it's instructions.
A fertőzött levelek mellékletéhez tartozó fájl neve lehet:
email-info
email-doc
information
account-details
document
INFO
instructions
info-text
information
A fertőzött levelek mellékletéhez tartozó fájl kiterjesztése lehet:
.tmp
.doc
.htm
.txt
.pif
.scr
.exe
.cmd
.bat
.zip
6. Leállítja az antivírus szoftverekhez és az egyéb biztonsági alkalmazásokhoz tartozó folyamatokat.
7. Módosítja a hosts fájlt, ennek következtében számos weboldalt tesz elérhetetlenné a fertőzött számítógépekről.
Forrás : Biztonságportál
