---

En ny MyDoom orm udgiver sig for at være returneret post. Hvis ormen inficerer en pc, vil den forsøge at hente et spam-værktøj.

Virus112 har i løbet af natten set en stigning i antallet af MyDoom.bb. Ormen spreder sig via e-mail til alle e-mail-adresser, den kan finde på det inficerede system.

Ormen spreder sig via e-mail, hvor afsendernavnet er forfalsket. Den kan for eksempel være "Returned mail" eller "MAILER-DAEMON". Selve afsenderadressen er også forfalsket til for eksempel postmaster@, hvor navnet efter @ er modtagerens domæne.

Emnet i e-mailen kan eksempelvis være "delivery failed" eller "Mail System Error – Returned Mail". På denne måde kan man lokke flere til at åbne den vedhæftede fil, fordi de tror at det er returneret post. Beskeden i selve e-mailen varierer. Den vedhæftede fil er en zip-fil.

Den vil scanne det inficerede system igennem for e-mail adresser den kan sende sig selv til. Den vil forsøge at gætte sig til modtagers mailserver ved at forsøge at levere direkte til mailservere på standardnavne som mail.domæne.dk.

MyDoom.bb åbner en bagdør, der lytter på TCP port 1034. Ormen vil desuden scanne efter andre systemer, der er inficeret med ormen selv. Hvis den finder en inficeret computer, vil den gemme ip-adressen krypteret i % Temp %\zincite.log.

Den vil desuden forsøge at hente og eksekvere en binær fil fra et website. Filen den henter er en trojan, der på nuværende tidspunkt bliver fundet som Backdoor.Nemog.D (Symantec), som er en såkaldt spam-proxy, der benyttes til at sende spam med.

Ormen vil desuden forsøge at finde e-mail-adresser ved at søge på søgemaskiner som Google.

kilde: virus 112

---

---

---

---

---

Eftersom du ikke er logget ind i systemet, kan du ikke lave en bedømmelse til dette tip.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.