Una nuova variante del worm MyDoom - Mydoom.S, è stato trovato il il 16 agosto 2004. Il worm si diffonde come le varianti precedenti

Descrizione Dettagliata

Il file del worm è un eseguibile PE di 27136 bytes compresso per mezzo di UPX. La dimensione del worm non compresso è di 53 KB.

Infezione del sistema

Il worm tenterà di fare il download di un eseguibile da quattro differenti URL che sono immagazzinati all'interno del corpo del worm, queste URLs puntano a due siti diferenti (www.richcolour.com e zenandjuice.com).

Mydoom si copia come file "winpsd.exe" nella directory di sistema di Windows e crea nel registro di sistema una chiave che consente al virus di eseguirsi ad ogni riavvio del computer

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "winpsd.exe"="%WinSysDir%\winlibs.exe"

dove %WinSysDir% rappresenta la cartella di sistema di Windows. Di conseguenza il worm viene lanciato ad ogni riavvio del computer

Il worm crea un mutex chiamato '43jfds93872'.

Propagazione e-mail

Il worm si propaga tramite e-mail. Prima della propagazione raccoglie gli indirizzi e-mail dal computer infetto. Il worm legge il file del Windows Address Book, legge i file nella cartella Temporary Internet Files e la cartella di sistema di Windows . I file con le seguenti estensioni sono controllati:

txt
htm
sht
php
asp
dbx
tbb
adb
pl
wab

Il worm non si trasmette agli indirizzi e-mail che contengono le seguenti sottostringhe:

avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
bugs
rating
site
contact
soft
somebody
privacy
service
help
not
submit
feste
gold-certs
the.bat
page
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun
abuse
upport
www
spm
spam
www
secur

Le e-mail che il worm usa per diffondersi hanno la seguente forma:

Subject:
photos

Body:
LOL!;))))

Attachment:
photos_arc.exe

L' indirizzo e-mail del mittente è falsificato . Il worm usa i seguenti nomi utente per falsificare l'indirizzo e-mail:

alex
michael
james
mike
kevin
david
george
sam
andrew
jose
leo
maria
jim
brian
serg
mary
ray
tom
peter
robert
bob
jane
joe
dan
dave
matt
steve
smith
stan
bill
bob
jack
fred
ted
adam
brent
alice
anna
brenda
claudia
debby
helen
jerry
jimmy
julie
linda
sandra

Payload

Il worm altera il file hosts del computer infetto per impedire all'utente e alle applicazioni locali di raggiungere i siti web dei fornitori dei prodotti Anti-Virus

Rilevazione

Mydoom.S viene rilevato con gli aggiornamenti pubblicati il 16 Agosto 2004:

[FSAV_Database_Version]

Version=2004-08-16_02

Descrizione e analisi: Ero Carrera, 16 Agosto 2004;

F-Secure Corporation