--> Archiwum Forum
trustno1 [ Born Again ]
MyDoom2 - rzeczywista grozba, czy efekt frustracji mojego admina?
przylazl przed chwila do mnie i glosem stopniujacym napiecie jak informatyk, ktory wiedze posiadl z klsiazki sieci i systemy w weekend oznajmil, ze jutro nastapi atak MyDooma, ktorego wykryc sie nie da i takie tam. w pracz mam maca a na drugim kompie - przepraszam za wulgaryzm - linuxa, ale szkoda byloby kompa w domu.
mam go zabic smiechem czy zaczac sie bac? zwlaszcza ze niczego nie znalazlem w sieci o tym czyms
p
Sabathius [ gdzie jest rooda? ]
spoko - MyDoom to tylko DoS - Denial of Service na strony Microsyfu
Również znany jako: Worm.Mydoom.A
Typ: robak
Długość: 22528
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie
Data aktywacji: 1 lutego
Mydoom.A jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz udostępnianiu możliwości przejęcia kontroli nad zainfekowanym komputerem. Robak umożliwia również przeprowadzanie ataku typu Denial of Service.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach :
Temat: [jeden z poniższych]
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Treść: [jedna z poniższych]
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent
as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
Załącznik: [poniższa nazwa]
document
readme
doc
text
file
data
test
message
body
[z jednym z poniższych rozszerzeń]
.pif
.scr
.exe
.cmd
.bat
.zip
Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku następujące pliki: shimgapi.dll, taskmon.exe, które tworzy w katalogu C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32 lub C:\WINDOWS\SYSTEM32 (zależnie od wersji Windows) oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.
Robak wyszukuje adresy poczty elektronicznej z plików z rozszerzeniami htm, sht, php, asp, dbx, tbb, adb, pl, wab, txt i następnie wysyła na nie swoje kopie za pomocą poczty elektronicznej. Również adres nadawcy jest jednym z adresów odnalezionych w powyższych plikach. Do wysyłania poczty robak korzysta z własnego silnika SMTP.
Dodatkowo robak umożliwia nieautoryzowany dostęp do zainfekowanego komputera oczekując na połączenia na portach od 3127 do 3198. Ponadto robak zawiera procedurę przeprowadzaniu ataku typu Denial of Service aktywowaną 1 lutego 2004.
12 lutego robak przestaje się rozprzestrzeniać.
Martinus [ Konsul ]
Dzięki Sabathius . Ja też trochę szukałem o tym robaczku ale wszędzie informacje były jakieś takie lakoniczne.
Eliash [ Generaďż˝ ]
Denial na strony Microsoftu będzie 3 lutego.
1 lutego atakowana będzie strona SCO.
Sabathius [ gdzie jest rooda? ]
Eliash -->> racja, racja, sorry