Vírus MyDoom

Started by Anonymous, 05 de February , 2006, 03:29:39 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Print
Go Down Pages1
User actions

Anonymous

05 de February , 2006, 03:29:39 PM
O Mydoom.A é um worm perigoso na medida em que se propaga rapidamente fazendo uso do seu próprio motor SMTP para se enviar por e-mail. Tira ainda partido de aplicações de partilha de ficheiros como o KaZaA.


Descrição Breve

O Mydoom.A é um worm que se propaga rapidamente via e-mail numa mensagem de características variáveis e através de aplicações de partilha de ficheiros peer-to-peer (P2P) como o KaZaA.
Lança um ataque de negação de serviços (DDoS) contra o website www.sco.com se a data de sistema for 1 de Fevereiro de 2004 ou posterior.

O Mydoom.A coloca uma DLL (Dynamic Link Library) SHIMGAPI.DLL que na realidade é uma backdoor que abre a porta de comunicações TCP 3,127 permitindo o acesso remoto ao computador infectado.


Sintomas visíveis

O Mydomm.A é fácil de reconhecer na medida em que logo que chega ao computador é aberta uma janela com o Worpad (bloco de notas) do Windows contendo informação sem interesse.


Meios de Transmissão

O Mydoom.A pesquisa endereços de e-mail em ficheiros com as seguintes extensões: .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab e .txt

Propaga-se por e-mail utilizando o seu próprio programa de e-mail.

O conteúdo do e-mail é variável e composto pelo seguinte texto:

Assunto (um dos seguintes):

test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status, Error
Corpo da mensagem (um dos seguintes), Mail Transaction Failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Ficheiros em anexo (um dos seguintes):

document
readme
doc
text
file
data
test
message
body
extensões deste ficheiros (um dos seguintes) pif
scr
exe
cmd
bat
zip


Efeitos

O Mydoom.A executa as seguintes acções

- Lança um ataque de negação de serviços, também conhecido como DDoS, contra o site www.sco.com se a data de sistema for 1 de Fevereiro de 2004 ou posterior.
- Permite o acesso remoto ao computador na medida em que coloca uma DLL (Dynamic Link Library) denominada SHIMGAPI.DLL que actua como uma backdoor que abre a porta de comunicações TCP 3127.
- Abre uma janela do Notepad (bloco de notas) do Windows com informação inútil.


Estratégia de infecção

O Mydoom.A cria um ficheiro denominado taskmon.EXE na directoria de sistema do Windows. Este ficheiro é uma cópia do worm.

Coloca na directoria de sistema do Windows um ficheiro denominado shimgapi.dll. Esta é na realidade uma backdoor que abre a porta de comunicações TCP 3127.

O Mydoom.A cria as seguintes entradas no Windows Registry
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TaskMon = "%SystemDir%\taskmon.exe"

Ao criar esta entrada o Mydoom.A assegura-se que é executado sempre que o Windows é iniciado.

HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
{default) = "%SystemDir%\SHIMGAPI.DLL"
Com esta entrada o ficheiro de backdoor do Mydoom.A é lançado com o Explorer
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

Ao criar esta entrada o Mydoom.A verifica que se afectou o computador.

O Mydoom.A também se propaga através de aplicações de partilha de ficheiros, nomeadamente através do KaZaA. O worm coloca uma cópia do seu código na pasta criado por defeito pela aplicação.Poderá apresentar um dos seguintes nomes:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

e uma das três extensões seguintes (pif, scr ou bat).


O que fazer para me proteger ou eliminar o MyDoom e outros vírus?

Caso esteja infectado, utilize esta ferramenta para eliminar o MyDoom do seu computador - note que este programa apenas remove o vírus indicado e não lhe oferece protecção permanente.

Recomendamos os Serviços de Segurança Online SAPO ADSL.PT, que lhe oferecem protecção permanente contra vírus, hackers e spam. Não arrisque perder informação importante do seu computador!

Clique aqui para mais informações sobre os Serviços de Segurança Online SAPO ADSL.PT

http://www.killerbat.host.sk ::. - Seu portal de segurança e informação na internet

Anonymous

#1
07 de August , 2006, 10:51:11 AM
vc tem o source deste virus ai?

anakim

#2
07 de August , 2006, 11:57:36 AM
ae pelo que eu me lembro o  source dele é em Assembly.
Why use Windows? If I have the door ;-)

Skayler

#3
07 de August , 2006, 12:39:34 PM
Well, eu não sei qual é a linguagem original desse Worm, mas tenho ele aqui em C++.
MyDoom.a

Rapid Share

Sends Pace

Turbo Upload

Bagondo

Up File

Password:

Code Select
Darkers

[]'s


Skayler
Away

HadeS

#4
12 de September , 2006, 09:44:13 AM
Skayler, não baixei o seu source, mas sei que a maioria que dos codes que foram liberados estavam com a criptofgrafia, se alguém quise posso postar o decoder.

HadeS

Anonymous

#5
27 de September , 2006, 09:44:04 PM

Sou o TRIPLOxXx
Tentei mandar um por  e-mail e não deu certo
eu cliquei no link notícias
não sei porque não deu certo
Print
Go Up Pages1
User actions