Wirus Mydoom.Q
Firma KasperskyLab informuje o [pojawieniu się nowego wirusa - Mydoom.Q . Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Rozmiar pliku robaka to 27 136 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 65 024 bajty). Szkodnik powstał przy użyciu języka programowania C++.
Po uruchomieniu robak kopiuje się do foldera \Windows z nazwą rasor38a.dll oraz do \Windows\System z nazwą winpsd.exe i tworzy w rejestrze systemowym klucz auto-run:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winpsd"="\winpsd.exe"
Dodatkowo, w celu oznaczenia zainfekowanego komputera, szkodnik tworzy unikatowy identyfikator o nazwie 43jfds93872.
Wirus rozprzestrzenia się pocztą elektroniczną. Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:
TXT
HTMB
SHTL
PHPQ
ASPD
DBXN
TBBG
ADBH
PL
WAB
Szkodnik wysyła zainfekowane wiadomości e-mail przy użyciu własnego silnika SMTP.
Zainfekowane maile mają temat "photos" i załącznik photos_arc.exe
Robak pobiera z internetu backdoora Backdoor.Win32.Surila.g, zapisuje go w folderze \Windows z nazwą winvpn32.exe i uruchamia go. Szkodnik tworzy także kolejny klucz w rejestrze systemowym:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer]
"InstaledFlashhMX"="1"
Szkodnik zdezaktywuje procedurę rozprzestrzeniającą 20 sierpnia o godzinie 21:11:11.
