Wirus Mydoom.Q atakuje

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Rozmiar pliku robaka to 27 136 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 65 024 bajty). Szkodnik powstał przy użyciu języka programowania C++. - czytamy w Interia.pl.

Po uruchomieniu robak kopiuje się do foldera Windows z nazwą rasor38a.dll oraz do WindowsSystem z nazwą winpsd.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"winpsd"="winpsd.exe"

Dodatkowo, w celu oznaczenia zainfekowanego komputera, szkodnik tworzy unikatowy identyfikator o nazwie 43jfds93872.

Wirus rozprzestrzenia się pocztą elektroniczną. Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

TXT

HTMB

SHTL

PHPQ

ASPD

DBXN

TBBG

ADBH

PL

WAB

Szkodnik wysyła zainfekowane wiadomości e-mail przy użyciu własnego silnika SMTP.

Zainfekowane maile mają temat "photos" i załącznik photos_arc.exe

Robak pobiera z internetu backdoora Backdoor.Win32.Surila.g, zapisuje go w folderze Windows z nazwą winvpn32.exe i uruchamia go. Szkodnik tworzy także kolejny klucz w rejestrze systemowym:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer]

"InstaledFlashhMX"="1"

Szkodnik zdezaktywuje procedurę rozprzestrzeniającą 20 sierpnia o godzinie 21:11:11.