W32.Novarg.A@mm (MyDoom) virüsü SCO ile açık-kaynak toplumu arasında süregitmekte olan Linux savaşının bir silahı gibi gözüküyor. Virüs SCO’ya karşı 1 şubatta bir DDoS atağı başlatacak ve 12 şubatta da bu yayılmayı durduracak şekilde planlanmış gözüküyor.
Lindon, Utah merkezli SCO geçtiğimiz aylarda IBM, Red Hat ve Novell’e karşı düzenlediği hareketler ve Linux işletim sisteminin yaratılmasında kendi kodlarının kullanıldığı iddiası ile gündeme geldi ve açık-kaynak yazılımı taraftarlarının şimşeklerini üstüne çekti.
Anti-Virüs uzmanları bu virüsün tehdit düzeyini yüksek olarak tanımladılar. SCO ise bu tür suç hareketlerinin sona ermesi çağrısında bulundu.
SCO detayları açıklamaksızın “Bu virüsün yaratıcıları SCO’ya saldırıyor ama aynı zamanda başkalarını da etkiliyorlar. Bu saldırının nedenini ya da orjinini bilmiyoruz ama bazı şüphelerimiz var” şeklinde açıklama yaptı. Şirket saldırganların kimliğini bulmak için ABD Gizli servisi ve FBI ile çalışmakta olduğunu da belirtti.
SCO Başkanı Darl McBride “Bu farklı ve çok daha belalı bir virüs. Sadece bizim firmamıza zarar verdiği için değil, ama yanısıra dünya çapındaki başka firmaların da sistem ve üretkenliklerine zarar veriyor” dedi.
Craig Schmugar, virus research manager at Network Associates’ten virüs araştırma müdürü Craig Schmugar ise internetnews.com’a, virüsün yayılmaya devam ettiğini ve bugün 24 saatlik hızlı dağılımdan sonra ilk defa Rusya içinde de dağılmaya başladığının görüldüğünü söyledi.
MessageLabs raporları MyDoom virüsünün her 12 mailden bir tanesinde yer aldığını ve bu istatistikle, 17 mailden birinde yer alan SoBig.F virüsünün rekorunu da kırdığını gösteriyor. MessageLabs sözcüsü “şu ana kadar 1.2 milyon MyDoom kopyası sayıldı ve bu rakamın gittikçe daha büyüyeceğini düşünüyoruz” dedi.
Symantec ise bu kurtçuğun arka kapı oluşturma riskine karşı uyardı. Bulaştığı sistemlerde TCP 3127-3198 açık bırakan virüs için Symantec “bu açık, potansiyel olarak portlar saldırganın bulaşmış makinaya ve bu makina kanalıyla network’lere giriş yapabilmesine olanak verebilir. Ayrıca arka kapı kullanılarak bilgisayarlara bazı dosyalar da yüklenebilir” açıklamasında bulundu.
MiMail-R olarak da bilinen MyDoom .bat, .cmd, .exe, .pif, .scr, or .zip türü bir ek ile bulaşabiliyor. Mailin konu kısmında genellikle “Hi” ya da “Hello” bulunuyor. Ama bazı örneklerde “Mail Transaction Failed” veya “Server Report. türü daha teknik konulu maillere de rastlandı”
Virüslü ek açılırsa, kurtçuk kendini sistem klasörü altına kopyalıyor. Bazı durumlarda MyDoom, Microsoft Ofisin korsan kopyası gibi davranabiliyor ve kendisini dosya-paylaşımlı network üzerine yükliyor.
Sophos güvenlik uzmanı Chris Belthoff, the MyDoom virüs yaratıcısının filtreleri atlatmak için .ZIP formatını tercih ettiğini söylüyor. Bilindiği gibi, .ZIP formatı genellikle, çok büyük dosyaları göndermek için kullanılıyor. Bu nedenle de şüpheyi de az çekiyor.
Belthoff bu virüsün kullanıcıları kandırmaya yönelik görsel efektler de kullandığını belirtiyor. Bazı durumlarda MyDoom ekli dosya sanki bir txt dosyası görüntüsünü taşıyor; “Diğer kitlesel yayılan kurtçuklardan farkı, kullanıcıları kandırmaya yönelik seksi resimler ya da özel mesajlar vermiyor”
Kaynak : 