Nieuws
MyDoom ergste computervirus allertijden
Hoewel het MyDoom virus pas enkele dagen oud is, wordt het door experts nu al bestempeld als het ergste computervirus allertijden. Geschat wordt dat het virus momenteel voor 20 tot 30 procent van al het e-mailverkeer verantwoordelijk is. Voorheen werd het SoBig.F virus gezien als het ergste computervirus.
Het MyDoom virus zal op 1 februari een DoS-aanval proberen uit te voeren op de website van SCO. Bij een DoS-aanval wordt er een groot aantal valse aanvragen verstuurd. De server kan deze aanvragen niet snel genoeg verwerken en wordt onbereikbaar voor normale bezoekers. SCO is momenteel in opspraak omdat het aanspraak probeert te maken op de eigendomsrechten van het opensource besturingssysteem linux. Dit wordt door de linux-gemeenschap niet echt gewaardeerd.
SCO heeft inmiddels een beloning van 250.000 dollar uitgeloofd voor degene die informatie kan geven die leidt tot de arrestatie van de verantwoordelijke virusschrijver. Het bedrijf zou inmiddels met de FBI samenwerken om de dader of daders te achterhalen.
De eerste variant op het MyDoom virus is al opgedoken. Deze variant, MyDoom.B geheten, lijkt erg veel op het originele virus. MyDoom.B probeert eveneens een DoS-aanval uit te voeren op de website van SCO. Wat nieuw aan de variant is, is dat deze op 3 februari een DoS-aanval doet op de website van Microsoft. Eenmaal besmet met het MyDoom.B-virus is het bijna onmogelijk om een antivirussite of het downloadgedeelte van de Microsoft-site te bezoeken. Ook diverse sites van advertentiebedrijven worden door het virus geblokkeerd. Wat deze variant gevaarlijker maakt, is dat het lezen van een besmet e-mailbericht al voldoende is om het virus op je computer te krijgen.
Volgens het antivirusbedrijf Kaspersky gebruikt MyDoom.B waarschijnlijk computers die door het eerste MyDoom-virus zijn geïnfecteerd. "Deze geïnfecteerde computers hebben mogelijk de opdracht gekregen om exemplaren van MyDoom.B te verspreiden.", aldus een verklaring van Kaspersky.
Wat deze variant gevaarlijker maakt, is dat het lezen van een besmet e-mailbericht al voldoende is om het virus op je computer te krijgen.
Dat lijkt mij niet waar, het wordt pas geactiveerd door de bijlage(n) te activeren, dus er is altijd nog menselijke handeling voor nodig!
Dit wordt door de linux-gemeenschap niet echt gewaardeerd.
[3x raden waar ie vandaan komt foto]
Wat bezielt die trieste figuren?? foto
Iets met dat virus te maken?
Als je effectief virussen wilt bestrijden, zorg dan dat al die digibeten opgevoed worden voor ze lukraak met een pc beginnen te kloten.
Let's race
Buienradar
quote:
Wat als je nu je pc klok op 1 februari zet? Gaat ie dan al aanvallen?
Niet dat 1 pc'tje wat uitmaakt...
Is misschien een idee. Als iedereen hem op 4 februari zet, dan zou hij toch zichzelf niet meer verdersturen, want dat doen dit soort virusen na de aanvaldatum toch meestal niet meer?
Of zie ik dat fout?
Is wel onhandig natuurlijk.
Wat bezielt die trieste figuren??
Hmm, dus jij verheft jou computer boven het leven van duizenden mensen...
Dan ben je pas triest....
General characteristics
Type: Worm
Alias: Novarg.A, Shimg.A, Mimail.R
Spreading mechanism: Email, other
Email characteristics:
Subject: Variable
Body:
Variable
Attachment: Variable
Destructivity: Medium
Payload: Denial-of-service attack/backdoor functionality
Detected by virus detection files published: 27 Jan 2004
Virus characteristics first published: 26 Jan 2004 23:26 (CET)
Virus characteristics latest update: 27 Jan 2004 18:14 (CET)
Additional description of malicious program
Type
This is a new worm. File size is 22528 bytes, though size may vary some when the worm comes as zip.
Spreading mechanism
The worm installs itself in memory and creates the mutex "SwebSipcSmtxS0" to avoid being loaded twice.
It copies itself to the Windows System directory under the name TASKMON.EXE. The original, if any, is deleted.
The worm creates the following registry keys:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Taskmon = [SYSTEM]\taskmon.exe
or
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Taskmon = [SYSTEM]\taskmon.exe
The worm now checks the registry key
HLCU\Software\Kazaa\Transfer DlDir0 for the presence of a Kazaa Peer-to-Peer default download directory. If found, it will copy itself to this directory as well.
Main spreading function is by email. MyDoom searches through several types of files hunting for email addresses to send itself to.
A file called SHIMGAPI.DLL is also installed to the Windows System directory.
The installed DLL inserts the follwing registry key:
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32 = shimgapi.dll
This has the effect that the DLL is loaded along with the operating system at startup.
When the worm executes, it will usually display some garbage data via Notepad.
The worm will stop spreading on February 12th 2004. However, it will retain the backdoor functionality.
Wordlist 1: Filenames used when creating files in Kazaa-directories.
winamp5
nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
Wordlist 2: Extensions used when creating file in Kazaa directories.
*.bat
*.exe
*.scr
*.pif
Wordlist 3: Possible email subject fields
random letters
"Error"
"Status"
"Server report"
"Mail Transaction Failed"
"Mail Delivery System"
"Hello"
"Hi"
Wordlist 4: Possible email text.
no body text
random garbage text
"Mail transaction failed. Partial message is available."
"The message contains Unicode characters and has been sent as a binary attachment."
"The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment."
"test"
Wordlist 5: Possible file names used for mail attachments
Random letter combination
"Message"
"Doc"
"Test"
"Body"
"Data"
"File"
"Text"
"Readme"
"Document"
Wordlist 6: Possible file extensions for mail attachments
zip
bat
cmd
exe
scr
pif
Note: When the attachment comes as a zip file, it is common that the file inside has double extension, where the last extension is attempted hidden by adding a lot of spaces to the name.
Wordlist 7: File types searched for email addresses.
wab
pl
adb
tbb
dbx
asp
php
sht
htm
txt
Wordlist 8: Names used for guessing addresses
sandra
linda
julie
jimmy
jerry
helen
debby
claudia
brenda
anna
alice
brent
adam
ted
fred
jack
bill
stan
smith
steve
matt
dave
dan
joe
jane
bob
robert
peter
tom
ray
mary
serg
brian
jim
maria
leo
jose
andrew
sam
george
david
kevin
mike
james
michael
alex
john
Destructivity and Payload
Depending on a date trigger (between Feb 1st 2004 and Feb 12th 2004), the worm will perform a denial-of-service attack against www.sco.com. If this triggers, it will check every 8th sec whether it is connected to Internet. If it is, and if the site www.sco.com is found, threads conducting neverending series of HTTP GET requests are directed to this site.
http://www.norman.com/virus_info/w32_mydoom_a_mm.shtml?menulang=nl
quote:
Ik haat virusmakers gewoon nog meer dan Bush en Saddam bij elkaar.
Wat bezielt die trieste figuren??
Omdat ze het, net zoals ik (nee ben geen virusschrijver), leuk vinden om mannetjes zoals jou die niets van pc's weten op de kast te jagen... Dat geeft zoveel voldoening foto
als dat virus een beetje intelligent is geschreven haalt ie gewoon de tijd van een timeserver op het net, dan kan de aanval grootschalig op precies hetzelfde tijdstip plaatsvinden en helpt het veranderen van de systeemtijd ook echt niet...
dat denk ik dus niet... die tijdservers zouden al ver voor 1 februari uit de viruscode zijn gehaald (na reverse engineeren) en vervolgens door de betreffende ISP naar beneden gehaald of iig dusdanig aangepast dat het virus er geen gebruik meer van kan maken...
Om te kunnen reageren moet je zijn ingelogd op FOK.nl. Als je nog geen account hebt kun je gratis een FOK!account aanmaken