Data da descoberta: 26/01/2004 Data da última atualização: 05/02/2004 O W32.Mydoom.A@mm (também conhecido como W32.Novarg.A@mm) é um worm de distribução em massa. O worm é recebido através de um arquivo de extensão .bat, .cmd, .exe, .pif, .scr ou .zip. Quando o computador é infectado, o worm instala no sistema um backdoor, através da abertura das portas TCP 3127 até 3198. Isto permite que um hacker conecte-se ao computador e use o proxy para obter acesso aos recursos da rede. Além disso, o backdoor possui a capacidade de fazer o download e executar arquivos aleatoriamente.

Tenta enviar e-mails usando seu prórprio mecanismo SMTP. Ele executa uma procura do servidor de e-mail do destinatário para enviar a mensagem. Se não tiver sucesso, ele usará o servidor de e-mail local. O e-mail possui as seguintes características: De: pode ser um endereço de e-mail inventado Assunto: O assunto poderá ser um destes: test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error Anexo: O anexo poderá ser um destes: document readme doc text file data test message body O anexo poderá conter uma ou duas extensões. Caso tenha duas, a primeira extensão será uma dos seguintes: .htm .txt .doc A segunda extensão, ou a única (caso tenha uma só), será uma das seguintes: .pif .scr .exe .cmd .bat .zip (este é o arquivo .zip que contém uma cópia do worm, de mesmo nome que o arquivo .zip. Por exemplo, readme.zip pode conter um arquivo readme.exe.) Quando o worm possuir a extensão .exe ou .scr, o arquivo usará o ícone que normalmente representa um arquivo texto: Para todas as outras extensões, ele usará o ícone associado ao tipo do arquivo. Cria uma cópia de si mesmo para a pasta do KaZaA como um dos seguintes arquivos: winamp5  icq2004-final  activation_crack  strip-girl-2.0bdcom_patches  rootkitXP  office_crack  nuke2004 O Symantec Security Response recomenda que todos os usuários e administradores observem as seguintes "melhores práticas" de segurança básica:  Desative e exclua os serviços de que não precisa. Por padrão, muitos sistemas operacionais instalam serviços auxiliares que nem todos utilizam, como clientes FTP, telnet e servidores Web. Só que esses serviços são verdadeiras vias de ataque. Se removidos, além de menos vias de ataque, você terá menos serviços e, assim, menos atualizações de correções com que se preocupar.  Se uma ameaça diversificada atingir serviços de rede, desative-os ou bloqueie acesso a eles até poder aplicar uma correção.  Mantenha seus níveis de correção sempre atualizados, especialmente no caso de computadores que abrigam serviços públicos e são acessíveis através do firewall, como os de HTTP, FTP, correio e DNS.  Adote uma senha. As senhas compostas dificultam a quebra dos arquivos de senha dos computadores afetados. Isso contribui para evitar ou limitar os danos quando um computador é afetado.  Configure seu servidor para bloquear ou remover e-mail que tenha arquivos anexados com extensões comumente usadas para disseminar vírus, como .vbs, .bat, .exe, .pif e .scr.  Isole rapidamente os computadores infectados, a fim de evitar um ainda maior comprometimento de sua empresa. Faça uma análise posterior e restaure o computador usando meios confiáveis.  Treine os funcionários a não abrir os anexos não esperados. Além disso, não execute software descarregado da Internet antes de submetê-lo a uma verificação de vírus. A simples visita a um site comprometido pode promover infecções se certas vulnerabilidades do browser não tiverem sido corrigidas. 

Quebra-Linha

Colaborador..: Ludmila Valadares
Categoria(s).: Dicas de Internet;
Data.........: 13/02/2004 21:59:35
Visualizado..: 4688 vezes
Fonte........: Symantec Security