Súlyos vírusveszély: rohamosan terjed a Mydoom, más néven Novarg féreg

Súlyos vírusveszélyre figyelmeztetnek a vírusírtó programokat fejlesztő vállalatok: az új Mydoom féreg célja a SCO cég webhelyének totális lebénítása, erre az elosztott szolgáltatás-megtagadás típusú (DDoS) támadásra 2004. február 1-én kerülne sor.

A MessageLabs a féreg első példányát Oroszországban fogta el, január 26-án 13 óra 3 perckor, és magyar idő szerint ma délig közel 300 ezer példányt tartóztatott fel. Ez a terjedési ütem nagyságrendileg a Sobig.F-hez hasonló. A MyDoom-nak köszönhetően a mérések szerint ma minden huszonhetedik e-mail vírust tartalmaz.

A MyDoommal fertőzőtt levelek melléklete egy 22528 bájtos fájl, véletlenszerűen választott állománynévvel, .exe, .pif, .cmd vagy .scr kiterjesztéssel. A féreg nem ritkán .ZIP archívumként csatolja magát. A vírus bemásolja magát a Kazaa szoftver megosztott könyvtárába, amennyiben ilyent talál, majd lefutása során megnyílik a Notepad program, tele értelmetlen karakterekkel.

A féreg átkutatja a fertőzött gépen található fájlok egy részét, a továbbterjedéshez használható e-mail címek után kutatva. Képes felismerni a spam elleni egyszerűbb trükkök egy részét, így például az @ jel helyett alkalmazott at rövidítést is értelmezni tudja. A MyDoom által vizsgált fájlkiterjesztések listája a következő: adb, asp, dbx, htm, php, pl, sht, tbb, txt.

Ha a fertőzött gépet 2004. február 1. után újraindítják, a féreg másodpercenként egyszer megkísérli lekérni a www.sco.com webhely tartalmát abból a célból, hogy a kiszolgálót túlterhelje. A túlterheléses támadás mellett a féreg hátsó ajtót nyit a fertőzött számítógépeken, mely a 3176-os TCP portot figyeli. Ily módon a féreg írója a későbbiekben hozzáférést szerezhet a fertőzött számítógéphez.

A vírust a VirusBuster programok a 7.859-es, illetve annál újabb adatbázissal már felismerik, s a többi vírusírtó programot is érdemes gyakran frissíteni, a vállalatok várhatóan gyorsan reagálnak az új veszélyt jelentő féregre.