W32.Mydoom.A@mm

In seguito alla diminuzione delle segnalazioni, Symantec Security Response ha aggiornato il livello di gravità di questa minaccia dalla categoria 3 alla categoria 2 il 30 marzo 2004.

W32.Mydoom.A@mm (conosciuto anche come W32.Novarg.A@mm) è un worm di distribuzione di massa che arriva sotto forma di allegato con estensione file .bat, .cmd, .exe, .pif, .scr, o .zip.

Quando il computer viene infettato, il worm installa una backdoor nel sistema aprendo le porte TCP da 3127 a 3198. Ciò rende possibile a un aggressore di connettersi al computer e di utilizzarlo come proxy per accedere alle risorse di rete.

La backdoor ha inoltre la capacità di scaricare ed eseguire file.

Esiste il 25% di possibilità che un computer infettato dal worm esegua un attacco di tipo DoS (Denial of Service) il 1° febbraio 2004. Se verrà sferrato l'attacco, il worm non inizierà la distribuzione di massa via posta elettronica. Il worm è programmato per cessare di propagarsi in data 12 febbraio 2004. Anche se il worm cesserà di propagarsi il 12 febbraio 2004, il componente backdoor continuerà a funzionare anche dopo questa data.

---

Note:

• I prodotti Consumer Symantec dotati della funzionalità di Blocco worm rilevano automaticamente questa minaccia non appena questa tenta di propagarsi.
• Symantec Security Response ha sviluppato uno strumento di rimozione per pulire le infezioni causate da W32.Mydoom.A@mm
• Le definizioni dei virus con data precedente al 4 febbraio 2004 rilevano questa minaccia come W32.Novarg.A@mm.

---

Quando W32.Mydoom.A@mm invia e-mail, evita di inviarle a qualsiasi dominio che contenga una delle stringhe seguenti:

• avp
• syma
• icrosof
• msn.
• hotmail
• panda
• sopho
• borlan
• inpris
• example
• mydomai
• nodomai
• ruslis
• .gov
• gov.
• .mil
• foo.
• berkeley
• unix
• math
• bsd
• mit.e
• gnu
• fsf.
• ibm.com
• google
• kernel
• linux
• fido
• usenet
• iana
• ietf
• rfc-ed
• sendmail
• arin.
• ripe.
• isi.e
• isc.o
• secur
• acketst
• pgp
• tanford.e
• utgers.ed
• mozilla

O a qualsiasi account che corrisponda a una delle stringhe seguenti:

• root
• info
• samples
• postmaster
• webmaster
• noone
• nobody
• nothing
• anyone
• someone
• your
• you
• me
• bugs
• rating
• site
• contact
• soft
• no
• somebody
• privacy
• service
• help
• not
• submit
• feste
• ca
• gold-certs
• the.bat
• page

O a qualsiasi account che contenga una delle stringhe seguenti:

• admin
• icrosoft
• support
• ntivi
• unix
• bsd
• linux
• listserv
• certific
• google
• accoun

Il worm aggiunge uno qualsiasi dei nomi seguenti davanti al nome di dominio ottenuto:

• adam
• alex
• alice
• andrew
• anna
• bill
• bob
• brenda
• brent
• brian
• claudia
• dan
• dave
• david
• debby
• fred
• george
• helen
• jack
• james
• jane
• jerry
• jim
• jimmy
• joe
• john
• jose
• julie
• kevin
• leo
• linda
• maria
• mary
• matt
• michael
• mike
• peter
• ray
• robert
• sam
• sandra
• serg
• smith
• stan
• steve
• ted
• tom