Симбухово

 // Журнал существует с 30.11.2002, 1-я запись
RSS

 
 

MyDoom

30.01.2004,

С прошлой проверки почты прошло менее 9 часов. Вот что я получил только что:

Мдя...

I-Worm.Mydoom.a

Вирус-червь. Также известен как Novarg.

Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB.
Червь активизируется, только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайт www.sco.com 1 февраля 2004 года.
Часть тела вируса зашифрована.
Инсталляция
После запуска червь запускает Windows Notepad в котором демонстрирует произвольный набор символов:

При инсталляции червь копирует себя с именем "taskmon.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"TaskMon" = "%System% askmon.exe"

В отличие от одноименного системного файла Windows, файл червя всегда имеет размер 22KB. Червь создает в системном каталоге Windows файл "shimgapi.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:

[HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32]
"(Default)" = "%SysDir%shimgapi.dll"

Таким образом, данная DLL запускается как дочерний процесс "Explorer.exe". Также червь создает файл "Message" во временном каталоге системы (обычно, %windir emp). Данный файл содержит произвольный набор символов.
Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]
[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]

Для этой же цели, в процессе работы, червь создает уникальный идентификатор "SwebSipcSmtxSO". Рассылка писем
При рассылке зараженных писем червь использует собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к почтовому серверу получателя. Для обнаружения адресов электронной почты, по которым будет вестись рассылка зараженных писем, червь ищет на диске файлы, имеющие расширения:

asp
dbx
tbb
htm
sht
php
adb
pl
wab
txt
и собирает найденные в них адреса электронной почты. При этом червем игнорируются адреса, оканчивающиеся на ".edu". Содержание зараженных писем

Адрес отправителя:

[произвольный]

Тема письма выбирается произвольно из списка:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Тело письма выбирается произвольно из списка:

test
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
The message contains Unicode characters and has been sent
as a binary attachment.
Mail transaction failed. Partial message is available.

Имя вложения может иметь либо одно слово, либо быть составленным из двух отдельных, соединенных символом "_":
document
readme
doc
text
file
data
test
message
body

Вложения могут иметь одно из расширений:
pif
scr
exe
cmd
bat

Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения. Размножение через P2P

Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

с расширением из списка:

bat
exe
scr
pif
Прочее
"Shimgapi.dll" представляет из себя прокси-сервер. Червь открывает на зараженной машине TCP порт из диапазона от 3127 до 3198 для приема команд. Функционал "бэкдора" позволяет злоумышленнику получить полный доступ к системе. Кроме этого, "бэкдор" может загружать из интернета и запускать на исполнение произвольные файлы. В черве заложена функция организации DoS-атаки на сайт www.sco.com. Эта функция должна быть активирована 1 февраля 2004 года и будет работать вплоть до 12 февраля 2004 года. Червь каждую миллисекунду отсылает на 80 порт атакуемого сайта запрос GET, что в условиях глобальной эпидемии может привести к полному отключению данного сайта.

Информация взята с сайта http://www.viruslist.com

8 комментариев 30.01.2004, 11:17

 

Страницы

 

Темы
3G adobe apple auto64 Canon Firefox flash Google iPad lg Mac Mercedes nokia php samsung wallpaper Yeti авто агрегат бизнес билайн браузер будущее ванная весна взакладки видео вода вспомнить все вт выходные Герда Германия гнев государство Греция дебилы девушки деньги дизайн дом домены дороги досуг еда жизнь жизня законы здоровье зима идиот идиотека интернет интернетмагазин Испания история квартира кино комп концерт коты кухня Лева лето Лёва любовь мегафон медиа Мехмат мечта милиция мир море Москва музыка мысля налоги новости новый год отдых отпуск Питер пн погода подарки покупка политика праздник природа пробки прогулка путешествие путешествия Работа радио ремонт Россия сайты самоделкин сантехника Саратов свадьба семья слухи смешно снег собака событие софт спорт статистика США тв театр телефон техника трафик Турция учеба Фёдор фото Хорватия хостинг цифры чайф часы школа я Яндекс

 

© Simba, дизайн — ноябрь 2009