Podjetje F-Secure uporabnike interneta opozorja na novega črva MyDoom.BB, ki se širi preko elektronske pošte in na okužene računalnike namesti program za izvajanje poljubnih ukazov na daljavo.
Črv MyDoom.BB se namesti v Windows imenik pod imenom "java.exe", hkrati namesti tudi datoteko "services.exe", ki na portu 1034 čaka na ukaze.
Naslove, na katere se razpošilja, nabere iz datotek s podaljški pl., ph., tx., ht., asp, sht, adb, dbx in wab. Za iskanje naslovov uporablja tudi spletne iskalnike Lycos, Altavista, Yahoo in Google. V pravilno obliko zna pretvoriti tudi naslove, ki jih uporabniki zapišejo naprimer kot "peter at domain dot com".
Zadeva sporočil je lahko:
hello
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
Vsebina sporočil je izbrana izmed množice različnih obvestil o napakah, tako da sporočila izgledajo kot obvestilo o nedostavljeni pošti.
Črv s spletne strani sname tudi dodatni program, stranska vrata Backdoor.Win32.Surila.o . Le-ta na TCP portu 1034 čaka na ukaze in omogoča pošiljanje in izvajanje poljubnih datotek na okuženem računalniku.
Uporabniki interneta naj bodo v prihodnjih dneh še posebej pozorni ob odpiranju pripon in naj sumljiva sporočila s priponami pobrišejo.
Več informacij o črvu:
http://www.f-secure.com/v-descs/mydoom_bb.shtml
