CERT-FI varoitus 04/2004

Mydoom-haittaohjelma leviää aktiivisesti

Mydoom-haittaohjelma on tyypiltään sähköpostimato, joka leviää sähköpostin liitetiedostojen ja Kazaa-vertaisverkon jaettujen kansioiden välityksellä. Mydoom-haittaohjelman lähettämien ja madon sisältävien sähköpostien otsikkotiedot, sisältöteksti, sekä viestin sisältämät liitetiedostot vaihtelevat. Haittaohjelma avaa Windows-käyttöjärjestelmän Muistio-ohjelmistoon satunnaista dataa. Mydoom aloittaa palvelunestohyökkäyksen UNIX-järjestelmien toimittajan SCO:n www-palvelinta kohtaan 31. tammikuuta 2004 jälkeen käynnistetyistä saastuneista tietojärjestelmistä.

Haittaohjelma avaa saastuneeseen tietojärjestelmään takaportin avaamalla peräkkäin TCP-portit 3127-3198. Toimintoa hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Saastuttaessaan kohdetietojärjestelmän Mydoom kopioi Windows System hakemistoon uuden SHIMGAPI.DLL-tiedoston ja käynnistää sen aliprosessiksi EXPLORER.EXE-prosessille.

Haittaohjelma kopioi itsensä Windows System hakemistoon nimellä "taskmon.exe" ja lisää tiedostonimen Windows-käyttöjärjestelmän rekisteriin seuraavalla tavalla:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMon"=%sysdir%\taskmon.exe

tai epäonnistuessaan:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMon"=%sysdir%\taskmon.exe

Tällöin haittaohjelma käynnistetään jokaisen Windows-käyttöjärjestelmän uudelleenkäynnistymisen yhteydessä.

Mydoom-haittaohjelman lähettämät sähköpostiviestit sisältävät seuraavat tiedot:

Otsikko jokin seuraavista:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Sisältöteksti jokin seuraavista:

test

The message cannot be represented in 7-bit ASCII encoding and has been sent as binary attachment.

The message contains Unicode characters and has been sent as a binary attachment.

Mail transaction failed. Partial message is available.

Liitetiedoston tiedostopääte jokin seuraavista:

pif
scr
exe
cmd
bat

Mydoom-haittaohjelman leviäminen Kazaa-vertaisverkon välityksellä tapahtuu siten, että haittaohjelma etsii Windows-käyttöjärjestelmän rekisteristä tietoa Kazaan jaetusta kansiosta ja kopioi itsensä kyseiseen kansioon jollakin seuraavista tiedostonimistä:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

ja jollakin seuraavista tiedostopäätteistä:

.bat
.exe
.scr
.pif

Mydoom lopettaa leviämisensä 12. helmikuuta 2004.

VAROITUKSEN KOHDERYHMÄ:

• Microsoft Windows-käyttöjärjestelmällä varustetut tietojärjestelmät

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

• Suojaa tietojärjestelmä virustorjuntaohjelmistolla ja huolehdi virustorjuntatietokannan ajantasaisuudesta

• Älä avaa sähköpostin liitetiedostoja ilman virustarkastusta

• Tuhoa välittömästi Mydoom-haittaohjelman sisältämät sähköpostiviestit

• Vältä vertaisverkko-ohjelmistojen käyttöä ja suhtaudu niiden kautta haettuihin tiedostoihin suurella varauksella

LISÄTIETOA:

http://www.f-secure.fi/news/uutiset/news_2004012700s.shtml

http://www.f-secure.com/v-descs/novarg.shtml

http://www.sophos.com/virusinfo/analyses/w32mydooma.html

http://vil.nai.com/vil/content/v_100983.htm

http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html

http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=44140

http://fi.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_MIMAIL.R

VERSIOHISTORIA:

27.1.2004 Ensimmäinen versio julkaistu

27.1.2004 Toinen versio julkaistu: Lisätty tietoa palvelunestohyökkäyksen ajankohdasta sekä
haittaohjelman leviämisen päättymisajankohdasta

PÄIVITYSHISTORIA:

27.01.2004: Julkaistu
27.01.2004: Päivitetty

Sivua päivitetty 30.11.2006

Tulostusversio