Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:WORM/Mydoom.O.1
Descoperit pe data de:28/04/2011
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:28.864 Bytes
MD5:81c59761451fc137ff0c253a5141610d
Versiune VDF:7.11.07.62 - joi, 28 aprilie 2011
Versiune IVDF:7.11.07.62 - joi, 28 aprilie 2011

 General Metoda de raspandire:
   • Email


Alias:
   •  Symantec: W32.Mydoom.M@mm
   •  Mcafee: W32/Mydoom.o@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.m
   •  Sophos: W32/MyDoom-O
   •  Microsoft: Worm:Win32/Mydoom.O@mm


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efecte secundare:
   • Creeaza fisiere
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\java.exe



Sunt create fisierele:

%WINDIR%\services.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware.
%TEMPDIR%\allja3.log Informatii obtinute despre sistem.
%TEMPDIR%\zincite.log Informatii obtinute despre sistem.

 Registrii sistemului Se adauga una din valorile urmatoare pentru fiecare cheie din registri, pentru a porni procesul dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "JavaVM"="%WINDIR%\java.exe"
   •

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Services"="%WINDIR%\services.exe"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


Catre:
– Catre: adresele colectate prin motoare de cautare

 Backdoor Deschide portul

– services.exe pe portul TCP 1034 pentru a oferi functionalitate de backdoor.

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description inserted by Andrei Ilie on Thursday, May 26, 2011
Description updated by Andrei Ilie on Monday, May 30, 2011

Back . . . .