Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:WORM/Mydoom.O.1
Scoperto:28/04/2011
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:28.864 Byte
Somma di controllo MD5:81c59761451fc137ff0c253a5141610d
Versione VDF:7.11.07.62 - giovedì 28 aprile 2011
Versione IVDF:7.11.07.62 - giovedì 28 aprile 2011

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: W32.Mydoom.M@mm
   •  Mcafee: W32/Mydoom.o@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.m
   •  Sophos: W32/MyDoom-O
     Microsoft: Worm:Win32/Mydoom.O@mm


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %WINDIR%\java.exe



Vengono creati i seguenti file:

%WINDIR%\services.exe Viene eseguito ulteriormente dopo che stato completamente creato. Ulteriori analisi hanno accertato che questo file anch'esso un malware.
%TEMPDIR%\allja3.log Questo file contiene le informazioni recuperate riguardo al sistema.
%TEMPDIR%\zincite.log Questo file contiene le informazioni recuperate riguardo al sistema.

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "JavaVM"="%WINDIR%\java.exe"
   •

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Services"="%WINDIR%\services.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


A:
 Indirizzi recuperati contattando i motori di ricerca

 Backdoor Viene aperta la seguente porta:

services.exe sulla porta TCP 1034 con lo scopo di procurarsi delle possibili backdoor.

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Ilie su giovedì 26 maggio 2011
Descrizione aggiornata da Andrei Ilie su lunedì 30 maggio 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.