UWAGA! I-Worm.Bofra.a
Po uruchomieniu robak kopiuje się do foldera \Windows\System z losową nazwą (na jej końcu zawsze znajduje się ciąg 32.exe), przykładowo:
C:\WINDOWS\SYSTEM32\kfilaxm32.exe
Następnie szkodnik tworzy w rejestrze systemowym klucz auto-run zapewniający mu uruchamianie wraz z każdym startem systemu operacyjnego:
"Rhino" = "%System%\
Szkodnik pobiera adresy potencjalnych ofiar z książki adresowej systemu MS Windows oraz z plików posiadających następujące rozszerzenia:
ADBH ASPD DBXN HTMB PHPQ PL SHTL TBBG TXT WAB
Zainfekowane wiadomości nie są wysyłane pod adresy zawierające poniższe teksty:
.edu .gov .mil abuse accoun acketst admin anyone arin. avp berkeley borlan bsd bugs ca certific contact example feste fido foo. fsf. gnu gold-certs google gov. help hotmail iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux listserv math me mit.e mozilla msn. mydomai no nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho submit support syma tanford.e the.bat unix usenet utgers.ed webmaster you your
W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje bezpośrednie połączenie z serwerem SMTP odbiorcy.
- Adres nadawcy (wybierany spośród poniższych możliwości):
adam alex alice andrew anna bill bob brenda brent brian claudia dan dave david debby fred george helen jack james jane jerry jim jimmy joe john jose julie kevin leo linda maria mary matt michael mike peter ray robert sam sandra serg smith stan steve ted tom
- Domena nadawcy (pobierana z zainfekowanego komputera lub wybierana z poniższych możliwości):
aol.com hotmail.com msn.com yahoo.com
- Temat (wybierany z poniższych możliwości):
funny photos :) hello hey!
- Treść wiadomości (wybierana z poniższych możliwości):
FREE ADULT VIDEO! SIGN UP NOW! Look at my homepage with my last webcam photos!
- Załącznik - zainfekowane wiadomości nie posiadają żadnego załącznika. Robak umieszcza w treści odsyłacz do zainfekowanego pliku znajdującego się na komputerze, z którego wysyłana jest wiadomość. Odsyłacz ten posiada następującą postać:
http://(adres IP komputera zawierającego zainfekowany plik):(numer portu)/(nazwa pliku)
Robak otwiera port TCP o numerze 1639 lub wyższym, co pozwala na pobranie pliku.
- Podpis wiadomości (wybierany z poniższych możliwości):
Checked by Dr.Web (http://www.drweb.net) Checked for viruses by Gordano's AntiVirus Software scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
Robak otwiera port TCP 6667 i oczekuje na zdalne polecenia przesyłane za pośrednictwem kanałów IRC.
W32.Mydoom.AI@mm (Symantec), Win32.HLLM.MyDoom.4 (Doctor Web), W32/Bofra-A (Sophos), Win32/Mydoom.AG@mm (RAV), WORM_BOFRA.A (Trend Micro), Worm/MyDoom.AG (H+BEDV), W32/Mydoom.AJ@mm (FRISK), Win32:Bofra (ALWIL), I-Worm/Mydoom.AC (Grisoft), Win32.Worm.Korgo.1.Gen (SOFTWIN)