Er is weer een nieuw virus genaamd W32.Mydoom.m@mm
Eigenschappen:
Mydoom.m is een nieuwe variant van W32.Mydoom.a@mm. Het is een internetworm die zich verspreidt via e-mail en P2P-netwerken als Kazaa.
Alle eigenschappen van het e-mailbericht varieren. Daardoor is het lastig te herkennen. Het icoontje van het bijlagebestand is meestal die van een tekstbestand, ook al is het een .bat, .com, .zip, .exe, .pif, .cmd of .scr bestand.
Na infectie stuurt het zich door naar lokaal opgeslagen e-mailadressen gevonden op het getroffen systeem. Ook is het in staat om via bepaalde zoekmachines te zoeken naar adressen geplaatst op websites, deze worden vervolgens ook een ontvanger van het virus.
Aanduiding: Gevaarlijk.
Payload
Na installatie wordt een backdoor ge-installeerd, op poort 1034 wordt gewacht op instructies van de virusschrijver.
Uit te voeren acties zouden kunnen zijn:
* Het vastleggen van toetsbord-aanslagen
* Het openen en verwijderen van geinstalleerde software c.q. bestanden.
Eigenschappen van het e-mailbericht:
* Afzender: [spoofed, ofwel adres is niet van de werkelijke afzender, kan bijvoorbeeld een e-adres zijn wat aanwezig is in het adressenboek van het verzendende c.q. besmette systeem.]
* Onderwerp: [wisselend, een van onderstaande]
click me baby, one more time
delivery failed
Delivery reports about your e-mail
error
hello
Mail System Error - Returned Mail
Message could not be delivered
report
Returned mail: Data format error
Returned mail: see transcript for details
say helo to my litl friend
status
test
Preventieve maatregelen:
Herkenning van besmetting:
Bestanden
1a. Mydoom.m is in staat om tal van copies te plaatsen op willekeurige locaties. De naamstelling en de extensie van deze bestanden is volstrekt willekeurig. Controleer bij twijfel de wijzigingsdatum van de bestanden, deze is gelijk aan de datum van infectie.
1b. Aanwezigheid van de bestanden "java.exe" & "services.exe" in de Windows\
directory. (c:\Windows\)
** let wel: deze bestandsnaam wordt ook door Windows gebruikt, u vindt dit normale windows-bestand op de locatie C:\Windows.
(Heeft u twijfels over dit bestand, controleer het dan met een online scanner, zie hieronder.)
comment_17571Er is weer een nieuw virus genaamd W32.Mydoom.m@mm
Eigenschappen:
Mydoom.m is een nieuwe variant van W32.Mydoom.a@mm. Het is een internetworm die zich verspreidt via e-mail en P2P-netwerken als Kazaa.
Alle eigenschappen van het e-mailbericht varieren. Daardoor is het lastig te herkennen. Het icoontje van het bijlagebestand is meestal die van een tekstbestand, ook al is het een .bat, .com, .zip, .exe, .pif, .cmd of .scr bestand.
Na infectie stuurt het zich door naar lokaal opgeslagen e-mailadressen gevonden op het getroffen systeem. Ook is het in staat om via bepaalde zoekmachines te zoeken naar adressen geplaatst op websites, deze worden vervolgens ook een ontvanger van het virus.
Aanduiding: Gevaarlijk.
Payload
Na installatie wordt een backdoor ge-installeerd, op poort 1034 wordt gewacht op instructies van de virusschrijver.
Uit te voeren acties zouden kunnen zijn:
* Het vastleggen van toetsbord-aanslagen
* Het openen en verwijderen van geinstalleerde software c.q. bestanden.
Eigenschappen van het e-mailbericht:
* Afzender: [spoofed, ofwel adres is niet van de werkelijke afzender, kan bijvoorbeeld een e-adres zijn wat aanwezig is in het adressenboek van het verzendende c.q. besmette systeem.]
* Onderwerp: [wisselend, een van onderstaande]
click me baby, one more time
delivery failed
Delivery reports about your e-mail
error
hello
Mail System Error - Returned Mail
Message could not be delivered
report
Returned mail: Data format error
Returned mail: see transcript for details
say helo to my litl friend
status
test
Preventieve maatregelen:
Herkenning van besmetting:
Bestanden
1a. Mydoom.m is in staat om tal van copies te plaatsen op willekeurige locaties. De naamstelling en de extensie van deze bestanden is volstrekt willekeurig. Controleer bij twijfel de wijzigingsdatum van de bestanden, deze is gelijk aan de datum van infectie.
1b. Aanwezigheid van de bestanden "java.exe" & "services.exe" in de Windows\
directory. (c:\Windows\)
** let wel: deze bestandsnaam wordt ook door Windows gebruikt, u vindt dit normale windows-bestand op de locatie C:\Windows.
(Heeft u twijfels over dit bestand, controleer het dan met een online scanner, zie hieronder.)
Registry
2a. Creatie van de registry-sleutel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
met de waarde:
"Services" = "%Windir%\services.exe"
2b. Creatie van de registry-sleutel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
met de waarde:
"JavaVM" = "%Windir%\java.exe"