Cảnh báo virus: W32.Mydoom.AJ

W32.Mydoom.AJ là một loại sâu "bom thư" khai thác lỗ hổng tràn bộ đệm IFRAM trong trình duyệt Internet Explorer của Microsoft. Sâu cũng có khả năng phát tán tới các địa chỉ tìm thấy trong sổ địa chỉ máy tính nạn nhân.


W32.Mydoom.AJ xuất hiện ngày 10/11/2004 là loại sâu lây nhiễm trên Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Khi thực thi, W32.Mydoom.AJ sẽ tiến hành các tác vụ sau:

1. Tạo một file ngẫu nhiên trong thư mục hệ thống: "%System%\32.exe.

2. Bổ sung giá trị

"Reactor7" = "%System%\[tên ngẫu nhiên]32.exe"

vào các khoá registry để sâu có thể tự động chạy mỗi lần Windows khởi động:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run

3. Có thể tạo ra các khoá registry sau:

* HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\ComExplore

* HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\ComExplore\Version

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\ComExplore

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\ComExplore\Version

4. Cố xoá các giá trị registry sau, từng được sâu W32.Mydoom tạo ra trước đây...

center
reactor
Rhino
Reactor3
Reactor4
Reactor5
Reactor6

từ khoá registry sau:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run

5. Tìm kiếm các địa chỉ e-mail trong sổ địa chỉ Windows và trong các file các chuối ký tự sau:

wab
pl
adbh
tbbg
dbxn
aspd
phpq
shtl
htmb
txt

6. Sử dụng động cơ SMTP riêng để gửi e-mail tới các địa chỉ tìm thấy. E-mail nhiễm virus mang các đặc điểm sau:

* From: (địa chỉ giả mạo)

* Subject: (là một trong các từ sau)

hello!
hey!
blank
random characters
Confirmation
Hi!

* Thông điệp dạng text:

Header:(là một trong số các phần mở đầu sau)
X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http:/ /amavis.org/)
X-AntiVirus: Checked by Dr.Web (http:/ /www.drweb.net)
X-AntiVirus: Checked for viruses by Gordano's AntiVirus Software

Body: (là một trong số các thông điệp sau)

+ Hi! I am looking for new friends. I am from Miami, FL. You can see my homepage with my last webcam photos!
+ Hi! I am looking for new friends.
+ My name is Jane, I am from Miami, FL.
+ See my homepage with my weblog and last webcam photos!
+ Congratulations! PayPal has successfully charged $175 to your creditcard. Your order tracking number is A866DEC0, and your item will be shipped within three business days.
+ To see details please click this link.
+ DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an automated message system and the reply will not be received.Thank you for using PayPal.

7. Mở cổng TCP/1640 để lắng nghe lệnh từ xa

8. Cố kết nối tới các máy chủ IRC sau tại cổng TCP/6667:

broadway.ny.us.dal.net
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
ced.dal.net
coins.dal.net
diemen.nl.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
lulea.se.eu.undernet.org
ozbytes.dal.net
qis.md.us.dal.net
vancouver.dal.net
viking.dal.net
washington.dc.us.undernet.org

Thứ Bảy, 13/11/2004 10:43
31 👨 78
0 Bình luận
Sắp xếp theo
z