Další změnou spočívá v blokaci přístupu počítače na stránky antivirových společností proto, aby nebylo možno aktualizovat virovou databázi antivirových programů instalovaných počítačů. Zablokován je také přístup na některé stránky společnosti Microsoft či výměnných reklamích systémů.
Vir, jako jeho předchůdce, zanechává v systému zadní vrátka, které umožní bezproblémový přístup případného útočníka na napadený počítač. Samotný vir se přestane šířit 1.března.
Podle čeho vir poznáte?
Vir je možno rozeznat podle některého z následujících textů v předmětu zprávy:
- Returned mail
- Delivery Error
- Status
- Server Report
- Mail Transaction Failed
- Mail Delivery System
- hello
- hi
- sendmail daemon reported:
- Error #804 occured during SMTP session. Partial message has been received.
- Mail transaction failed. Partial message is available.
- The message contains Unicode characters and has been sent as a binary attachment.
- The message contains MIME-encoded graphics and has been sent as a binary attachment.
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Jak předmět, tak text, ale mohou být generovány náhodně.
Příloha, v níž se vir skrývá, obsahuje jednu nebo dvě přípony. Pokud je vybavena dvěmi příponami, pak ta první obsahuje některou z následujících koncovek:
.htm.txt
.doc
Poslední přípona může mít šest variant: .pif
.scr
.exe
.cmd
.bat
.zip
Pokud je přípona .scr či .exe, pak se ve zprávě objeví ikona pro textové sobory, které lze otevřít v programu NotePad.
Útok v rámci sítě Kazaa
V případě, že vir detekuje přítomnost výměnného systému Kazaa, vloží do složky download svou kopii s některým z těchto souborů:
· icq2004-final· Xsharez_scanner
· BlackIce_Firewall_Enterpriseactivation_crack
· ZapSetup_40_148
· MS04-01_hotfix
· Winamp5
· AttackXP-1.26
· NessusScan_pro
Ty si pak vybírají z následujících koncovek · .pif
· .scr
· .bat
· .exe
Zdá se také, že se vir pokouší nalézt počítače úspěšně napadené předchozí verzí viru, aby se díky otevřeným zadním vrátkům mohl do tohoto systému dostat.
Jak se daří Mydoom.A?
Pokud by se novinka šířila stejnou rychlostí jako původní Mydoom.A, jednalo by se další obrovské zatížení e-mailových serverů. Jen na adresy v doméně idnes.cz přicházelo každou hodinu tisíce zavirovaných elektronických zpráv. V České republice ovládl Mydoom.A až 50 procent e-mailového provozu.
Organizace Message Labs doposud zaznamenala necelých 4 000 000 originálních výskytů ve 199 státech. Celosvětově se virus objevuje v každém desátém e-mailu.
Zdroj: Symatec
Související odkazy: