Gyorsan terjed a Mydoom vírus legújabb változata

[Morpho] Hétfőn a Trend Micro közepes szintű riasztást adott ki a WORM_MYDOOM.M féreghez kapcsolódóan, hogy felhívja a figyelmet erre a tömeges levélküldő féregre, amely kézbesítési figyelmeztetésnek vagy "vissza a feladóhoz" értesítésnek álcázza magát. A férget Európában és az Egyesült Államokban is észlelték.

A WORM_MYDOOM.M saját SMTP motorját felhasználva terjed úgy, hogy először ellenőrzi az internetkapcsolat elérhetőségét, majd egy levéltovábbítón keresztül kapcsolódik. A megcélzott címeket a fertőzött rendszer Windows címjegyzékéből veszi ki, és a Google és Yahoo keresőkhöz hasonló oldalakon keresztül ellenőzi. A féreg a küldő nevét jeleníti meg a kiküldött e-mailek feladójaként.

A tárgy mezőben szereplő szöveg egy szokványos, sikertelen kézbesítésről szóló üzenethez hasonlít, amelynek szövege "status: delivery reports about your e-mail" vagy "returned mail: see transcript for details". Ez az üzenet a felhasználót a csatolt fájl megtekintésére veszi rá.

"Az emberek általában nyugtalanná válnak, ha úgy gondolják, hogy üzenetük nem jutott el a címzetthez, a vírus készítője ezt a felhasználói viselkedést használja ki" -- magyarázta Joe Hartmann, a Trend Micro vezető víruskutatója és elemzője. A Mydoom legelső változata, amely idén januárban jelent meg, a rendszergazdától származó hivatalos értesítésnek tüntette fel magát.

Az WORM_MYDOOM.M egy .ZIP, .BAT, .PIF, .EXE vagy .SCR kiterjesztésű fájlban érkezik, bár a fájlnév generálása abból a címből történik, amelyre a féreg el szeretné küldeni magát, így a kiszemelt áldozat számára lényegesnek tűnik. Miután a fertőzött számítógépbe kerül, a féreg egy JAVA.EXE fájlba helyezi el magát a Windows mappában, és a rendszerleíró adatbázisba elhelyez egy automatikus futtatás bejegyzést a rendszer indításakor történő futtatáshoz.