PDA

Visualizza versione completa : W32.Mydoom.C - Allerta 4 - (Update)


Giorgius
10-02-2004, 09.45.12
Utilizza le stesse tecniche di attacco delle 2 varanti del Worm "Mydoom".
La vittima di questo attacco massiccio DDos è sempre la Microsoft...

Aliases:
W32/Doomjuice.A.worm (Panda Software), W32.HLLW.Doomjuice (Symantec), W32/Doomjuice.worm.a (McAfee), WORM_DOOMJUICE.A (Trend Micro), Win32/Doomjuice.A (Enciclopedia Virus (Ontinent)), Win32/Mydoom.C (Otros)

Effetti:
W32/Doomjuice.A is an internet worm. This worm spreads to Windows systems. The worm targets and spreads to systems infected with W32/Mydoom and W32/Mydoom.B worm, it enters through the backdoor created by the W32/Mydoom variants.
Upon execution, the worm copies itself as intrenat.exe in the Windows System folder. It also creates an backup of W32/Mydoom source code and copies it as sync-src-1.00.tbz to the following locations;
Root of C drive
Windows folder
Windows System folder
The worm also creates a mutex sync-Z-mtx_133 to ensure a single copy is running in the memory.

Info:
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3580&PHPSESSID=9b0d30ae44a0b6ebb681e516b748e62d
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=44510&sind=0
http://www.symantec.com/avcenter/venc/data/w32.hllw.doomjuice.html
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101002
http://www.pspl.com/virus_info/worms/doomjuicea.htm
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=57699&VName=WORM_DOOMJUICE.A&VSect=T


Aggiornamento AntiVirus al 05/02/04 ;)(Y)

Giorgius
10-02-2004, 09.52.01
HACKERS have developed a new version of the powerful MyDoom internet worm that attempts to use infected computers to launch attacks aimed at shutting down Microsoft's main website, experts said.
The security firm F-Secure said the new worm, dubbed Doomjuice or MyDoom.C, spreads between computers that are already infected with the original MyDoom.A worm...

Leggi: http://www.theaustralian.news.com.au/common/story_page/0,5744,8639336%255E15306,00.html


Third version of Mydoom has a surprise

A third version of the Mydoom virus was found by a virus researcher over the weekend, but this one only threatens computers already infected by the first Mydoom.
The new virus -- also being called "Doomjuice" by researchers -- doesn't spread via e-mail, so Internet users are unlikely to encounter it. It only attacks machines already infected with Mydoom, via the backdoor left by the original worm, said Joe Stewart of Lurhq Corp., who found the new worm on Sunday...

Leggi: http://www.msnbc.msn.com/id/4224954/

gardy77
10-02-2004, 13.59.49
ancora virus basta non se ne può piu! :S :anger:

quando finiranno questi attacchi si sa qualcosa? :confused:

Giorgius
10-02-2004, 14.35.12
Oggi è iniziata una nuova valanga di Mail con il Mydoom.B :rolleyes:
Su "12" di questa mattina "2" erano già del W32.Doomjuice.A :S (N)

La varante "C" di Mydoom potrebbe "Svegliarsi" allo scadere del 12/02/04, quando le precedenti varianti termineranno il loro attacco.

Giorgius
10-02-2004, 17.11.52
Roma, 10 feb. (Adnkronos Multimedia) - MyDoom, il virus che in questi giorni ha infettato milioni di computer, provocando danni stimati in oltre 40 miliardi di dollari, e' tornato sulla scena con una nuova variante, ritenuta pericolosa, anche se meno del suo predecessore. A lanciare l'allarme per MyDoom.C e' la compagnia di sicurezza LURHQ, che ha spiegato come il worm abbia il codice modificato e ottimizzato, in modo da poter attaccare ancora piu' computer la' dove prima risultava innocuo. Il danno piu' grande provocato dal virus e' stato l'assalto ai server di Sco Group, tutt'ora sotto attacco. (Mak/Adnkronos)


Virus: Panda Software Segnala Doomjuice.a

(ASCA) - Roma, 10 feb - Panda Software ha segnalato la presenza di Doomjuice.A, un nuovo worm che sfrutta i danni causati da Mydoom.A. I dati analizzati dall'azienda suggeriscono che l'attacco di Mydoom non terminera' il prossimo 12 febbraio, come previsto inizialmente. E' ragionevole ritenere, infatti, che lo stesso autore di Mydoom.A abbia lanciato questo nuovo codice maligno che sfrutta le porte aperte da Mydoom.A e Mydoom.B. Questo nuovo virus si comporta come Sqlslammer: Doomjuice.A e' un network worm che sfrutta una porta aperta nello stesso modo in cui Sqlslammer sfruttava una vulnerabilita' nei server. Le azioni effettuate da Doomjuice.A sui computer infettati sono le seguenti: il worm crea nel registro Windows la chiave HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun ''Gremlin''intrenat.exe; il docice genera una copia di se stesso denominata intrenat.exe (36,864 bytes); inoltre, crea un file denominato sync-src-1.00.tbz (28,569) in Windows, in Temp, in Systeme e in C (questo file e' compresso e contiene il codice sorgente di Mydoom.A); il worm lancia un attacco di tipo denial of service contro il sito www.microsoft.com. Secondo Panda Software, Doomjuice.A e' stato creato dallo stesso autore di Mydoom.A. Gli esperti dell'azienda sono impegnati nello studio di questo codice maligno. Per il momento Panda Software consiglia agli utenti di usare la massima cautela e aggiornare immediatamente le soluzioni antivirus. La compagnia ha gia' reso disponibili gli aggiornamenti ai suoi prodotti necessari per rilevare e distruggere Doomjuice.A.

Giorgius
10-02-2004, 17.13.29
MyDoom Inarrestabile. Si Diffonde La Terza Versione Del Worm

NEW YORK, USA - Una nuova versione del recente e famoso worm MyDoom sta attraversando la rete in queste ore. Il virus e' stato ribattezzato MyDoom-C ed e' programmato per aggredire il sito della Microsoft. Lo riporta InternetNews, che sottolinea anche le caratteristiche della terza variante di MyDoom. Il worm non include una backdoor come le precedenti versioni, ma dirige solo un ingente numero di Denaial-of-Service al sito della Microsoft. Inoltre, il virus sfrutta i danni causati dalla versione A, facendo uno scanning delle macchine aggredite in precedenza.
10/02/04 StudioCelentano.it

Giorgius
10-02-2004, 17.33.58
http://www.microsoft.com/library/toolbar/3.0/images/banners/ms_masthead_ltr.gif

What You Should Know About the Mydoom Worm Variants: Mydoom.A, Mydoom.B, and Mydoom.C (a.k.a. Doomjuice)

Leggi: http://www.microsoft.com/security/antivirus/mydoom.asp

La stessa Microsoft dice:
"Customers who have successfully removed Mydoom.A from their computers are not at risk for Mydoom.C infection."

-------------------------------

Mydoom (A,B) and Doomjuice.A Worm Removal Tool

Leggi: http://www.microsoft.com/downloads/details.aspx?FamilyId=C14BFBE4-3D50-464D-A26C-9C287F8A08C5&displaylang=en

X Winzozzo XP:
Microsoft consiglia di impostare il file "Hosts" residente in "C:\Windows\system32\Drivers\Etc" in modalità "solo lettura". ;)

Giorgius
11-02-2004, 00.59.07
In its monthly security bulletin, the world's largest software maker warned that Windows NT, Windows 2000, Windows XP and Windows Server 2003 were at risk and offered software updates to fix the flaws, which were given Microsoft's highest severity rating of "critical."

Leggi: http://www.reuters.com/newsArticle.jhtml;jsessionid=UTYJFBJJKSF0KCRBAELCF EY?type=technologyNews&storyID=4328377