March 22
Mydoom è un worm di malware che colpisce i computer che eseguono i sistemi operativi Microsoft Windows. Si diffonde principalmente attraverso un allegato e-mail che, una volta eseguito, il worm invia nuovamente a indirizzi e-mail nella rubrica locale. Inoltre copia se stesso nella cartella condivisa del computer per la trasmissione attraverso le reti di file-sharing peer-to-peer. Il malware ha due scopi principali: aprire una backdoor sui PC infetti per il controllo del sistema remoto e per lanciare attacchi DDoS (Denial of Service) attacchi contro siti web specifici, ad esempio, SCO Group, Microsoft. Inoltre blocca l'accesso ai siti di antivirus online per interferire con gli strumenti di rimozione dei virus o aggiornamenti software antivirus.
Mydoom arriva come allegato all'interno di una e-mail con una delle seguenti estensioni di file: .bat, .cmd, .exe, .pif, .scr o .zip. L'e-mail viene generato da un indirizzo di posta elettronica casuale. Il soggetto contiene in genere un messaggio di errore legate tra cui "errore di consegna", "Errore", "Sistema Mail Delivery" o "Mail Transaction Failed". Il corpo del messaggio indica in genere che il messaggio "non può essere rappresentato in codifica ASCII a 7 bit ed è stato inviato come allegato binario" per incoraggiare lo spettatore a eseguire il file allegato.
Quando viene eseguito l'attacco, una finestra di dialogo errore di falso visualizza in genere, affermando che non vi è memoria insufficiente per caricare il file. Blocco note si apre anche con un file di testo pieno di caratteri senza senso casuali.
Il worm copia se stesso nella cartella di sistema di Windows con il nome "taskmon.exe", seguito da una voce corrispondente nel Registro di Windows. Essa stabilisce inoltre una voce di linea nel Registro di sistema per questo file per eseguire automaticamente all'accensione. Taskmon è un file legittimo entro il 95/98 / sistemi operativi Windows Me, ma viene memorizzato nella cartella Windows stesso, non la cartella di sistema.
Il worm crea anche un file denominato "shimgapi.dll." Questo è il file che assume il ruolo di server proxy, aprendo le porte di ascolto all'interno della gamma di 3127 a 3198. Questa backdoor permette anche l'accesso completo al computer infetto e permette il download e l'esecuzione di file arbitrari come determinato da un hacker.
Verificare la presenza di una copia del file eseguibile del worm sul disco rigido. Il worm si copia, in genere sotto il nome di "mydoom.exe" o "" mydom.exe, "nella cartella temporanea su un sistema infetto.