Email-Worm.Win32.Mydoom.r

Технические детали

Вирус-червь, распространяющийся через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 38КБ, упакован UPX. Размер распакованного файла около 74КБ.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После своего запуска червь запускает Windows Notepad, в котором демонстрирует произвольный набор символов:

При инсталляции червь копирует себя с именем "tasker.exe" в системный каталог Windows и регистрирует этот файл в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "Task"="%System%\tasker.exe"

Червь создает в системном каталоге Windows файл "nemog.dll", являющийся бэкдор-компонентом и регистрирует этот файл в системном реестре:

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32]
 "(Default)"="%System%\Nemog.dll"

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

adbh
aspd
dbxn
htmb
phpq
pl
shtl
tbbg
wab

При этом игнорируются адреса, содержащие следующие подстроки:

.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help

iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp

postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
you
your

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Имя отправителя выбирается из следующих вариантов:

adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred

george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria

mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom

Тема письма:

Выбирается из списка:

Error
hello
hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status
test

Текст письма:

Используется один из предустановленных вариантов, например:

• !!!!!!!!!!!, check the attachment!!!.
• (Norton Anti Virus : No Virusses Found , Check The Attachment For More Information.
• (Norton ANti Virus,Panda,Mcafee No Virusses Found).
• Check the attachment for more information!.
• check the attachment to get the lastest news.
• check.
• come back my friend.
• error , sorry we can't send the email so check the attachment.
• error to send the mail!!!!!.
• error, check the attachment for more information.
• failed to send the email!, check the attachment for more information.
• failed,check the attachment for more information.
• hello :)
• hello check the attachment thx.
• hello.
• here is what you need,thx.
• loooooool ;)))
• Mail transaction failed. Partial message is available.
• sorry we can't send the mail try later , check the attachment for more information.
• the attachment for more information.
• Try Later, Check the Attachment.
• you can check the attachment for more information.
• your attachment , thx.

Имя файла-вложения:

Выбирается из списка:

body
data
doc
document
file
message
readme
test
text

Вложения могут иметь одно из следующих расширений:

bat
cmd
doc
exe
htm
pif
scr
tmp

Размножение через P2P

Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:

Cleaner.exe
Crack.exe
Fixtool.exe
Hotmail hacker.exe
Mydoom.exe
Netsky.exe
ps2 emulator.exe
SoBig.exe
Upload.exe
Vahos.exe
Viraus.exe
Wenrar.exe
Winzip.exe
xbox emulator.exe
XXX Pictures.exe
XXX Videos.exe
yahoo hacker.exe

Удаленное администрирование

Червь открывает на зараженной машине TCP порт 5422 для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Бэкдор может загружать из интернета и запускать на исполнение любые файлы.

Прочее

I-Worm.Mydoom.r содержит следующие строки:

MSG To SkyNet-Netsky: i know skynet is sucks so fuck off and i will
complete my projects ok baby!,the second author for mydoom worms!!, he
will complete the project, more is coming soon better than better,
Kuwait