Вирус My doom

Материал из Гуру — мира словарей и энциклопедий
Перейти к: навигация, поиск

Компьютерный вирус My doom (Известен также, как Novarg) - почтовый червь, эпидемия которого началась 25.02.2004.

Распространяется по электронной почте и файлообменной сети Kazaa. Файл-носитель червя имеет размер около 28 килобайт и содержит текстовую строку "sync-1.01; andy; I'm just doing my job, nothing personal, sorry".

При заражении компьютера Mydoom модифицирует операционную систему, блокируя доступ к сайтам многих антивирусных компаний, новостным лентам и различным разделам сайта компании Microsoft. В период с 1 по 12 февраля Mydoom проводит DDoS-атаку на сайты Microsoft и компании SCO Group.

SCO Group объявила награду в 250 тысяч долларов за информацию, которая поможет поймать создателей MyDoom. Считается, что SCO стала целью хакеров из-за своих юридических претензий на программный код, который используется в бесплатной операционной системе Linux.

Розыском авторов вируса занялось ФБР.

Специалисты "Лаборатории Касперского" на основе анализа географии распространения Mydoom пришли к выводу, что червь был создан в России. Такого же мнения придерживаются эксперты других компаний, занимающихся сетевой безопасностью

Червь активизируется только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайты www.microsoft.com и www.sco.com. Часть тела вируса зашифрована. В распакованном файле имеется текстовая строка: (sync-1.01; andy; I'm just doing my job, nothing personal, sorry) Инсталляция После старта червь запускает Windows Notepad в котором демонстрирует произвольный набор символов. При инсталляции червь копирует себя с именем "explorer.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Explorer" = "%System%\explorer.exe" Червь создает в системном каталоге Windows файл "ctfmon.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре: [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32] "Apartment" = "%SysDir%\ctfmon.dll" Таким образом данная DLL будет запускаться как дочерний процесс Explorer.exe. Также червь создает файл "Body" во временном каталоге системы (обычно, %windir%\temp). Данный файл содержит произвольный набор символов. Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version] [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version] Для этой же цели, в процессе работы, червь создает уникальный идентификатор "sync-v1.01__ipcmtx0". Червь заменяет стандартный файл "hosts" в каталоге Windows на свой собственный, измененный таким образом, чтобы пользователь зараженной машины не мог получить доступ через интернет к следующим доменам: ad.doubleclick.net ad.fastclick.net ads.fastclick.net ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net banner.fastclick.net banners.fastclick.net ca.com click.atdmt.com clicks.atdmt.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net fastclick.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com media.fastclick.net msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.fastclick.net www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.ru www3.ca.com Рассылка писем Функция рассылки писем идентична примененной в варианте Mydoom.a, с небольшими изменениями.

Тело письма выбирается произвольно из списка:

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received The message contains Unicode characters and has been sent asa binary attachment. The message contains MIME-encoded graphics and has been sent as a binary attachment Mail transaction failed. Partial message is available. Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения. Размножение через P2P Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами: NessusScan_pro attackXP-1.26 winamp5 MS04-01_hotfix zapSetup_40_148 BlackIce_Firewall_Enterpriseactivation_crack xsharez_scanner icq2004-final с расширением из списка: bat exe scr pif