Συναγερμός για τη νέα έκδοση του "MyDoom"

[Σπύρος Μπλάτσιος]

Οι κατασκευαστές προγραμμάτων antivirus κρούουν τον κώδωνα του κινδύνου για μια νέα έκδοση του worm "MyDoom", που εξαπλώνεται ραγδαία (στην Ασία, προς το παρόν) μέσω e-mail και ενσωματώνει εργαλεία καταγραφής των πληκτρολογήσεων των θυμάτων καθώς και δυνατότητα απενεργοποίησης των antivirus.

Σύμφωνα με την McAfee, ο "MyDoom.BB" (MyDoom.AX κατά τη Symantec, MyDoom.m κατά τις Kaspersky και Sophos, Mydoom.AO κατά την Panda Software) στέλνεται με τη βοήθεια ενός e-mail με subject όπως "delivered", "hello", "hi", "error", "status", "test", "report" και "delivery failed". Επιπλέον, στο πεδίο του αποστολέα του e-mail εμφανίζονται ονόματα όπως "Postmaster", "Mail Administrator" και "Automatic Email Delivery Software". Στο κυρίως σώμα του κειμένου μπορεί να δει κανείς τα ακόλουθα: "Dear User of ...", "We have received reports that your accout was used to send a large amount of junk", "Email messages during the last week" κ.λπ.

O βλαπτικός κώδικας κρύβεται σε ένα συνημμένο αρχείο. Μόλις ο χρήστης κάνει κλικ σε αυτό το αρχείο, ο MyDoom.BB θα αντιγράψει το αρχείο "Java.EXE" στον κατάλογο των Windows και θα επιχειρήσει να κατεβάσει και να τρέξει στο PC ένα πρόγραμμα spyware. Επιπρόσθετα, στέλνει αντίγραφά του σε όλα τα e-mails που περιέχονται στο βιβλίο διευθύνσεων του θύματος, σε αρχεία temp που έχουν κατέβει από το Internet και στο σκληρό δίσκο. Το worm εγκαθιστά ακόμα το αρχείο services.exe στο κατάλογο των Windows, ανοίγει το TCP port 1034 και περιμένει για συνδέσεις από "έξω".

Το worm εκμεταλλεύεται τις μηχανές αναζήτησης για να βρει τις κατάλληλες διευθύνσεις που θα προσβάλει. Σύμφωνα με την Sophos, η νέα έκδοση του worm αύξησε τις αιτήσεις αναζήτησης κατά 45% στο Google, κατά 22,5% στο Lycos, κατά 20% στο Yahoo και κατά 12,5% στο Altavista.

Οι McAfee, Symantec και Panda Software έχουν ήδη κυκλοφορήσει τα σχετικά εργαλεία απομάκρυνσης (removal tools) που διαγράφουν το worm από τα "μολυσμένα" PCs.

Πηγή: ZDNET

από το e-pcmag.gr