In arrivo Zindos, il worm fratello di Mydoom che attacca Microsoft

Dopo un giorno dalla scoperta del worm Mydoom.M, si può già fare una stima della percentuale di diffusione. Messagelabs ha fatto sapere di aver intercettato oltre 500.000 e-mail infette dal worm: una cifra notevole ma notevolmente inferiore rispetto a quella delle e-mail intercettate infette dal primo originale Mydoom.

Come già visto nell'analisi del worm Mydoom presente all'indirizzo http://news.hwupgrade.it/12889.html, il worm una volta lanciato nel computer installa una backdoor che resta in ascolto sulla porta TCP 1034. É di queste ore la notizia che Data Fellows, produttrice del noto antivirus F-Secure, ha isolato un nuovo worm denominato Zindos.

Ad una prima analisi del codice, sembra che Zindos sia stato scritto dallo stesso autore del mydoom.M. Infatti il worm si installa nei pc infetti dal MyDoom.M utilizzando la backdoor precedentemente installata. Una volta all'interno del pc, Zindos si copia nella cartella dei files temporanei con un nome casuale e aggiunge sotto la chiave del registro

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] la voce "Tray" = "%TEMP%\<random_name>.exe".

Poi si autoreplica utilizzando una lista precedentemente creata dal worm Mydoom dei computer infettati e sui quali è stata attivata la backdoor sulla porta TCP 1034.
Il payload del worm Zindos è un attacco DDoS contro il sito www.microsoft.com tentandone il download in un ciclo infinito con intervalli di 50 ms.

Non si prevede tuttavia una diffusione di massa di questo worm, visto il continuo rallentamento della diffusione del worm Mydoom dovuto agli aggiornamenti dei programmi antivirus e dalle precauzioni che la maggior parte degli utenti stanno prendendo.