Windows XP SP2 kullanıcıları risk altında değil. Ama en son service pack upgrade’ini yüklememiş olan XP kullanıcıları ya da XP olmayan Windows (mesela Windows 2000) kullanıcıları potansiyel olarak risk altında.
Daha önceki Mydoom virüsleri gibi yeni varyant da kendi SMTP mail gönderme motoruna sahip ve böylece bulaştığı kullanıcının hesabından dışarıya mailler gönderiyor. Kullanıcının makinasındaki mail adreslerini alıyor ve bu adresleri “From” bölümüne yerleştirerek mail gönderiyor. Yani, Mydoom.ah mesajları alan kişiler aslında gerçek göndericiden değil, sahte mail adreslerinden gelen mailleri alıyorlar.
McAfee’nin yayınladığı tavsiyeye göre bu Mydoom varyantının ekinde bir dosya yok:
“Maildeki site adresi ya da link aslında e-mailin gönderildiği bulaşmış sistemin adresi. Bu linke tıklandığında bir web sunucuya erişiliyor. Bu web sunucu virüsü yöneten IFRAME buffer overflow koduna yönlendiriyor”.
Güvenlik şirketleri bu virüsü taşıyan maillerin içeriğinde çok farklı mesajlar olabildiğini bildiriyorlar. Bunlar PayPal mesajları olabiliyor. Konu (subject) satırında ise “funny photos,” “:)”; “hello” ve “hey!” gibi ifadeler yer alıyor.
Güvenlik uzmanı Ken Dunham, iyi korunmuş kurumsal ortamların, ev kullanıcı ve küçük ofislere nazaran daha az risk altında olduğunu bildiriyor: “Siber suçlular saldırılarını arttırdılar. MyDoom.AF, IE açığının raporlanmasından sadece 1 hafta sonra ortaya çıktı. Bundan sonra da, yama yayınlanana kadar IFRAME açığına saldıracak başka kurtçuklar olabilir”.
Öte yandan Microsoft, geçen hafta açıklanan IFRAME açığının, şirkete bildirilmeden kamuya açıklanmasına tepki gösterdi. Microsoft’tan yapılan açıklamada, güvenlik açıklarının duyurulmasının virüs saldırılarına davetiye çıkardığı savunularak açığın uygun olmayan bir şekilde yayınlandığı iddia edildi.
IE’deki açık geçen hafta bir internet sohbet forumunda duyurulmuştu. “Ned” isimli kullanıcı tarafından bulunan açık hakkında antivirüs şirketleri ‘son derece kritik’ değerlendirmesi yapmışlardı.
Kaynak : 