 |
|||||||||
|
|||||||||
| SYMBOLIC Antivirus Security Division |
| 9 Febbraio 2004 |
| NOME: Doomjuice |
| ALIAS: Mydoom.C, Worm.Win32.Doomjuice, W32.HLLW.Doomjuice, WORM_DOOMJUICE.A,
W32/Doomjuice.worm |
| DIMENSIONE: 36.864 bytes |
Descrizione Breve Doomjuice, rilevato il 9 febbraio 2004, e' un network worm che si installa sulle macchine gia' infette da MyDoom.A. Non si propaga tramite posta elettronica. Effettua un attacco di tipo Distributed Denial of Service contro microsoft.com Descrizione dettagliata Doomjuice si diffonde tra le macchine già infette da MyDoom.A, utilizzando la backdoor installata da quest'ultimo. Per localizzare i computer vulnerabili, il worm scandisce un numero di indirizzi casuali, cercando di collegarsi alla porta TCP 3127. Se la porta è aperta, Doomjuice si spedisce all'host in un package creato in modo da essere eseguito immediatamente, causando perciò una seconda infezione. Dopo essersi installato, Doomjuice si copia nella cartella di sistema di Windows con il nome 'intrenat.exe'. Crea poi le seguenti voci di registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Gremlin Attacco Denial of Service Dopo l'8 febbraio, il worm lancia un attacco DDoS contro www.microsoft.com al fine di sovraccaricare il server di richieste. L'attacco è lanciato in un loop infinito.Effetti collaterali Il worm copia il codice sorgente di MyDoom.A in un archivio compresso TAR nella directory radice di tutti i dischi e nella cartella del profilo-utente. Il file è denominato 'sync-src-1.00.tbz'.Rilevazione F-Secure Anti-Virus per Windows rileva Doomjuice con gli aggiornamenti pubblicati il 9 Febbraio 2004: [FSAV_Database_Version] Version=2004-02-09_04 Descrizione: Katrin Tocheva, Gergely Erdelyi; 9 Febbraio2004; F-Secure Corporation |