1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> skadelig programvare >>

Hva kan vi lære av Mydoom-A?

Det virket først som W32 /Mydoom-A var en variant av W32 /Mimail familie, og faktisk noen leverandører oppdage det som W32 /Mimail-R. Selv om det er riktig å si at Mimail familien var en stor innflytelse på W32 /Mydoom-A, er koden annerledes nok til å bli klassifisert som en ny familie. Interessant, tidligere samme dag, en ny variant av Mimail familie, W32 /Mimail-Q ble oppdaget. Bare en av dem forårsaket et problem. Hvorfor?

Forskjellen synes å være en kombinasjon av egenskaper. Med W32 /Mimail-Q, e-post emnelinjer generert inneholdt ord og uttrykk mer sannsynlig å snuble spamfiltre, eller som kan se mer ut som spam til en leser. Feste typer var også sannsynlig å vekke mistanke, og vil være langt mer sannsynlig å utløse vedlegg blokkerer filtre som mange større selskaper rutinemessig benytter. W32 /Mydoom-A var litt annerledes, og jeg tror dette var noe ansvar for sin større suksess.

Først emnelinjer var kort og spam nøytral - slik som " Hei, " " Hei " og ". Error "

For det andre inneholdt kroppen svært lite tekst - igjen var det ikke snubler et spamfilter.

Tredje, ormen også ofte benytter .zip utvidelse for vedlegg (i tillegg til de mer vanlige de, for eksempel .exe PIF- SCR CMD og BAT). Det var en gang at den rådende visdom sa sende ting som .zip var i someway " trygg, " følgelig slike vedlegg er sjelden blokkert på bedriftsways.

Det er to måter å se på dette. Det ene er at budskapet om ikke å åpne uønskede vedlegg rett og slett ikke er gjennomtrengende brukeren befolkningen; den andre er at det er gjennomtrengende, men vi har skutt oss selv i foten via falsk inntrykk av at filene i en ZIP-fil er trygge. Som en optimist, jeg ønsker å tro at den andre setningen er sannere, men dessverre, de senere ormer som W32 /Bagel og W32 /Swen-A bevise at virkeligheten er meldingen ikke komme gjennom. I noen tilfeller kan dette forklares ved det faktum at feste brukt " tekstdokument " ikon - men, selvfølgelig, dette vil bare bli vist i enkelte e-postklienter.

Fjerde, ormen sendt flere meldinger til hver mottaker, snarere enn den mer vanlige. Det pleide " gjetter " å generere mottakere, forårsaker en stor mengde bounce trafikk, som også inneholdt vedlegget.

Sist, W32 /Mydoom-A gjort et forsøk på å etablere seg før det ble oppdaget, ved å inkludere kode i det som hindret ormen fra å sende sine meldinger til en rekke steder, blant annet store antivirusleverandører, noen store bedrifter og offentlige organisasjoner, for å prøve å utvide vinduet før prøvene kom til forhandlerne. Disse faktorene, blant annet kan forklare hvorfor W32 /Mydoom-A var mer vellykket enn noen andre ormer. Overføringen del av W32 /Mydoom-A er satt til å utløpe 12. februar selv om bakdør Trojan komponent vil være aktiv.