HOME   |  

 

 
 

  MyDoom
Menu

 

ข้อมูลของไวรัส
ชื่อ :W32.Novarg@mm[Norton], W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend], Win32.Mydoom [Computer Associates], W32/Mydoom [Sophos]
ชนิด : หนอน (Worm)
ค้นพบเมื่อ : วันที่ 26 มกราคม 2547
ชนิดไฟล์ที่แนบ : มีนามสกุลดังนี้ .pif, .scr, .exe, .cmd, .bat, และ .zip
ขนาดไฟล์ : 22,528 ไบท์ แต่ถ้าเป็นไฟล์ .zip จะมีขนาดไฟล์ที่แตกต่างกันไป
ส่งผลกับ : Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP
ไม่ส่งผลกับ : DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x
ความรุนแรง : สูง
 
W32.Mydoom คือไวรัสที่แพร่พันธุ์ผ่านทางระบบอีเมล์ ซึ่งแนบไฟล์ที่มีไวรัสมากับอีเมล์นั้นด้วย โดยไฟล์ที่แนบจะมี ดังนี้ .bat, .cmd, .exe, .pif, .scr, หรือ .zip

คอมพิวเตอร์ที่ติดไวรัสนี้ จะมีหนอน (worm) คอยเปิดประตูลับบนเครื่องนั้น โดยใช้ TCP พอร์ตตั้งแต่ 3127 ถึง 3198 ซึ่งพอร์ตเหล่านี้ทำให้ผู้บุกรุกสามารถเชื่อมต่อมายังเครื่องที่ติดไวรัสได้ หลังจากนั้นจึงใช้เครื่องดังกล่าวเป็น proxy ในการเข้ามาใช้งานเครือข่ายของเรา และประตูลับ (backdoor) ที่เปิดไว้นั้นสามารถดาว์นโหลด และรันไฟล์ที่ผู้บุกรุกส่งเข้ามาได้อีกด้วย

ซึ่งปัจจุบันมีเครื่องที่ติดไวรัส Mydoom ประมาณ 25% ทั่วโลก โดยหนอนที่อยู่ในเครื่องจะสร้างการโจมตีไปยังเครือข่าย โดยใช้วิธีที่เรียกว่า DoS (Denial of Service) ไปยังเว็บไซต์ www.sco.com ตั้งแต่วันที่ 1 กุมภาพันธ์ 47 โดยเริ่มตั้งแต่ เวลา 16:09:18 UTC หรือประมาณ 23:09:18 น. ตามเวลาในบ้านเรา ซึ่งจะทำงานตามเวลาบนเครื่องที่ได้กำหนดไว้ และจากนั้นไม่นาน Mydoom จึงเริ่มต้นโจมตีเครือข่ายแบบ DoS

ซึ่งมันจะหยุดส่งเมล์จาก Mydoom เองและจะหยุดการโจมตีแบบ DoS เมื่อถึงวันที่ 12 กุมภาพันธ์ 47 แต่ระบบประตูลับที่ไวรัสสร้างไว้ยังคงทำงานต่อไปเรื่อยๆ… หนอนชนิดนี้จะแพร่กระจายทั้งจากโปรแกรมแชร์ไฟล์ Kazaa หรืออีเมล์ ซึ่งหากมีการแพร่กระจายทางโปรแกรม Kazaa จะก๊อบปี้ตัวเองไว้ในโฟลเดอร์ที่แชร์ ซึ่งให้คนอื่นดาว์นโหลด โดยจะมีชื่อไฟล์ดังนี้
 
  • winamp5
     
  • icq2004-final
     
  • activation_crack
     
  • strip-girl-2.0bdcom_patches
     
  • rootkitXP
     
  • office_crack
     
  • nuke2004

    และมีนามสกุลดังต่อไปนี้
     
  • .pif
     
  • .scr
     
  • .bat
     
  • .exe

    การแพร่กระจายของหนอนชนิดนี้ผ่านทางอีเมล์จะมีลักษณะดังต่อไปนี้
    ส่งจาก :จะไม่ใช้อีเมล์ของผู้ส่งจริง แต่จะทำการสุ่มอีเมล์ขึ้นมา
    หัวข้อเมล์ :

  • Server Report
     
  • Mail Delivery System
     
  • hi
     
  • status
     
  • hello
     
  • HELLO
     
  • Hi
     
  • test
     
  • Test
     
  • Mail Transaction Failed
     
  • Server Request
     
  • Error

    เนื้อหาในเมล์ :
     
  • Mail transaction failed. Partial message is available.
     
  • The message contains Unicode characters and has been sent as a binary attachment.
     
  • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
     
  • Test

    ชื่อไฟล์ที่แนบ :จะมีนามสกุลจริงดังนี้: .pif, .scr, .exe, .cmd, .bat, และ .zip และมีชื่อไฟล์ดังต่อไปนี้
     
  • document
     
  • readme
     
  • doc
     
  • text
     
  • file
     
  • data
     
  • test
     
  • message
     
  • body

    หรือบางทีชื่อไฟล์อาจจะมีได้ถึง 3 นามสกุล (ชื่อไฟล์.นามสกุลแรก.นามสกุลสอง.นามสกุลจริง) โดยจะมีนามสกุลแรกดังนี้
     
  • .htm
     
  • .txt
     
  • .doc

    และจะมีนามสกุลที่สองตามนี้ หรือหากมีสองนามสกุล (ชื่อไฟล์.นามสกุลแรก.นามสกุลจริง) ก็จะมีนามสกุลเหล่านี้เป็นนามสกุลแรก
     
  • .pif
     
  • .scr
     
  • .exe
     
  • .cmd
     
  • .bat
     
  • .zip
    •   
     
    This page is best viewed by Internet Explorer 5 or higher at 1024*768resolutions