A közlemény szerint a Mydoom.f variáns már “közepes” veszélyt jelent az otthoni és a vállalati felhasználók számára egyaránt. Az indoklás szerint az új besorolást az előfordulás gyakoriságának növekedése tette szükségessé
A W32/Mydoom.f@MM verzió tulajdonságai:
– saját SMTP levelező motor, amellyel – hamis feladót feltüntetve – továbbküldi magát a .WAB, TXT, .HTM és .HTML fájlokból összegyűjtött címekre,
– a vírust az elérhető meghajtókon terjesztő komponens
– hátsó ajtó komponens, amely a 1080-as port-ot figyeli, és kinyit további portokat a 3000-4000-ig terjedő tartományban.
– a www.microsoft.com és a www.riaa.com oldalak elleni Denial of Service támadás képessége és „rakománya”,
– fájltörlési képesség.
A vírus véletlenszerű néven másolja magát a Windows rendszerkönyvtárba, és indításkor az alábbi kulcs segítségével tölti be magát:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun “nhch” = %SYSDIR%hiruszomrk.exe (véletlenszerű fájlnév).
Ekkor a féreg megkísérli leállítani az alábbi folyamatokat: avp. avp32 intrena mcafe navapw navw3 norton reged taskmg taskmo, illetve törli a lokális meghajtókról a bmp, avi, jpg, sav, xls, doc és mdb kiterjesztésű fájlokat.
A W32/Mydoom.f@MM vírust február 19-én fedezték fel, és a 25-én kiadott 4327-es DAT fájl már tartalmazza a vírus felismeréséhez szükséges információt. A felismeréshez és eltávolításhoz a legfrissebb DAT és EXTRA.DAT fájlok elérhetőek a
http://www.networkassociates.com/us/downloads/updates/dat.asp címen.
