Panda Software warns of the new worm Mydoom.N

MADRID, 26 Temmuz 2004 

Panda Laboratuarları Mydoom.N virusunu tespit. Adından da anlaşıldığı gibi meşhur Mydoom virusunun türevi.

Mydoom.N e-mailin kendi kullandığı SMTP üzerinden yayılıyor. Bu solucan port açan ve bu portu dinleyen bir arka kapı gib davranan EXE dosyası yüklüyor. Bu sayede sanal korsanalrın uzakatan bilgisayarınıza erişim sağlarlar.

Mydoom.N  Windows Kayıt Defterinde şu girdileri girer:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 JavaVM = “%WinDir %\java.exe”

 HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 Services = “%WinDir %\Services.exe”

 Windows Klasörüne belirtilen dosyaları ekler:  %WinDir%\java.exe  ve %Windir%\Services.exe. dosyalarına virusu kopyalar.

Mydoom.N e-mail adreslerine çeşitli eklentiler yapoar bu da kullanıcıların aklını karıştırabilir. Aşşağıda belirtilen eklentiler gibi olabilir:

 

  • "Automatic Email Delivery Software"

  • "Bounced mail"

  • “Mail Administrator”

  • "Mail Delivery Subsystem"

  • "MAILER-DAEMON"

  • "Post Office"

  • “Postmaster”

  • "Returned mail"

  • "The Post Office"

 

Mesajınız : boş olabilir, okunaksız karakter kümeleri veya aşşağıdakilerden her hangi biri:

  • Your message was undeliverable due to the following reason(s):

    Your message could not be delivered because the destination computer was
    unreachable within the allowed queue period. The amount of time
    a message is queued before it is returned depends on local configura    tion parameters.

Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.

Your message was not delivered within 5days:
Host <IP> is not responding.

The following recipients did not receive this message:
<e-mail address>

Please reply to <e-mail addressl>
if you feel this message to be in error. 

  • Message could not be delivered

 ·         Dear user of %recipient’s email address%

 

Your email account was used to send a large amount of span during the last week.

Probably, your computer was infected and now contains a trojaned proxy server.

 

We recommend that you follow the instructions in order to keep your compute safe.

Virtually yours,

  • %recipient’s email address% user support team.

 

Dosya Ekleri: dosya adı değişken, ve değişken uzantılı.
Olası dosya isimleri: “readme” instruction”, “attachment”,  “transcript”, “mail”, “setter”. “file”, “text” y “document”.  Gibi olabilir.

 

Mydoom.N’un kulandığı  mesaj formatları  hakkında daha fazla bilgi için Panda Software’in virus ansiklopedisi http://www.pandasoftware.com/virus_info/encyclopedia/ adresine ulaşabilirsiniz.  

Mydoom.N, virusunden korunmak için Panda Software olarak önerimiz kullanıcıların antiviruslerini güncellemeleri yeterli olucaktır. 

Ayrıca kullanıcılar internetten ücretsiz olarak http://www.pandasoftware.com, adresinden ActiveScan’i kullanarak sistemlerini taratabilirler.

 

Panda Labaratuarları Hakkında  

 Virus tehlikesi olan bir dosya alındığı zaman, Panda Software'in teknik ekibi hemen çalışmalarına başlayıp, dosyayı analiz ederler., Dosyanın türü, davranışları incelenir. Disassembly ve makro yöntemler kullanılır. Şayer bir tehlike ile karışılaşılırsa virusu temizleme çalışmaları başlar ve en kısa zamanda kullanıcılara bu yeni çıkan virus ile ilgili bilgiler ve temizleme yöntemleri hakkında bilgiler  verilir.