RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Mydoom.m
| Время детектирования | 26 июл 2004 19:03 MSK |
| Время выпуска обновления | 20 авг 2004 17:07 MSK |
| Описание опубликовано | 26 июл 2004 19:03 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Червь, рассылающий свои копии по электронной почте. Является приложением Windows (PE-EXE файл). Имеет размер 28864 байт. Упакован при помощи UPX, распакованный размер 64 к.б.
Инсталляция
Копирует свой исполняемый файл как:
%WinDir%\java.exeДля автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
JavaVM=%WinDir%\java.exe
%WinDir%\services.exeфайл имеет размер 8192 байт, детектируется Антивирусом Касперского как Email-Worm.Win32.Mydoom.m.
Извлеченный файл так же добавляется в ключ автозапуска системного реестра:
Services=%WinDir%\services.exe
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows и кешы браузера Internet Explorer, при этом игнорируются адреса, содержащие следующие подстроки:
mailer-d spam abuse master sample accoun privacycertific bugs listserv submit ntivi support admin page the.bat gold-certs feste not help foo soft site rating you your someone anyone nothing nobody noone info winrar winzip rarsoft sf.net sourceforge ripe. arin. google gnu. gmail seclist secur bar. foo.com trend update uslis domain example sophos yahoo spersk panda hotmail msn. msdn. microsoft sarc. syma avp spmА так же поиск ведется на всем жестком диске компьютера, в файлах со следующими расширениями:
doc txt htm html
Характеристики зараженных писем
Тема письма:
Выбирается из списка:
hello hi error status test report delivery failed Message could not be delivered Mail System Error - Returned Mail Delivery reports about your e-mail
Отправитель:
Имя отправителя выбирается из следующих вариантов:
Postmaster Mail Administrator Automatic Email Delivery Software Post Office Bounced mail Returned mail MAILER-DAEMON Mail Delivery Subsystem
Текст письма:
Может быть одним из следующих:
We have received reports that your e-mail account was used to send a huge amount of unsolicited junk e-mail messages during the last week.
We suspect that probably your computer had been infected by a recent virus and now contains a hidden proxy server.
We recommend you to follow the instructions in the attachment in order to keep your computer safe.
Sincerely yours Have a nice day,
technical support team.
Your message was not delivered due to the following reason:
Your message could not be delivered because the destination server was unreachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters.
Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
Your message was could not be delivered within 2 days: Mail server is not responding. The following recipients could not receive this message:
Please reply to postmaster if you feel this message to be in error.
Имя файла-вложения:
Выбирается из списка:
attachment document messageВложения имеют двойное расширение: первое - .zip, второе может быть одним из следующих:
com exe pif scr
Деструктивная активность
Посылает скрытые поисковые запросы следующим поисковым системам:
Google Yahoo Altavista Lycosи открывает ссылки из первой страницы результатов поиска содержащие адреса из списка, который загружается с серверов злоумышленников. Таким образом червь накручивает посещение сайтов.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить вредоносный процесс.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
JavaVM=%WinDir%\java.exe
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Services=%WinDir%\services.exe - Удалить файлы:
%WinDir%\services.exe %WinDir%\java.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- Email-Worm.
Mydoom. m («Лаборатория Касперского») - I-Worm.
Mydoom. m («Лаборатория Касперского») - I-Worm.
MyDoom. gen («Лаборатория Касперского») - Virus:
W32/Mydoom. o@MM (McAfee) - W32/Sality-AA (Sophos)
- W32/MyDoom-O (Sophos)
- W32.
Sality. Q-1 (ClamAV) - Worm.
Mydoom. M-unp (ClamAV) - Worm.
Mydoom. M (ClamAV) - W32/Mydoom.
N. worm (Panda) - W32/Mydoom.
AY@mm (FPROT) - W32/Mydoom.
O@mm (FPROT) - W32/Sality.
AD (FPROT) - Virus:
Win32/Sality. R (MS(OneCare)) - Worm:
Win32/Mydoom. O@mm (MS(OneCare)) - Win32.
HLLP. Sector (DrWeb) - Win32.
HLLM. MyDoom. 49 (DrWeb) - Win32/Sality.
NAJ virus (Nod32) - Win32/Mydoom.
R worm (Nod32) - Worm.
Generic. 24520 (BitDef7) - Win32.
Mydoom. M@mm (BitDef7) - Win32:
Mydoom-M [Wrm] (AVAST) - Win32:
Mydoom-L2 [Wrm] (AVAST) - Email-Worm.
Win32. Mydoom. M (Ikarus) - Email-Worm.
Win32. Mydoom (Ikarus) - Dropper.
Generic_c. GH (AVG) - I-Worm/Mydoom (AVG)
- I-Worm/Mydoom.
O (AVG) - W32/Sality.
Q (AVIRA) - WORM/Mydoom.
M (AVIRA) - WORM/Mydoom.
M. unp (AVIRA) - W32.
Mydoom!gen (NAV) - W32.
Mydoom. M@mm (NAV) - W32.
Sality. U (NAV) - Worm.
Mail. Mydoom. x (Rising) - Worm.
Mail. Mydoom. dh (Rising) - W32/Mydoom.
M@mm [Orion] (FSecure) - PE_SALITY.
AS (TrendMicro) - WORM_MYDOOM.
GEN (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».