Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Email-Worm.Win32.Mydoom.a

Email-Worm.Win32.Mydoom.a

Время детектирования	27 янв 2004 11:55 MSK
Время выпуска обновления	16 авг 2007 14:00 MSK
Описание опубликовано	27 янв 2004 11:55 MSK

Технические детали

Вирус-червь. Также известен как Novarg.

Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB.

Червь активизируется, только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайт www.sco.com 1 февраля 2004 года.

Часть тела вируса зашифрована.

Инсталляция

После запуска червь запускает Windows Notepad в котором демонстрирует произвольный набор символов:

При инсталляции червь копирует себя с именем "taskmon.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "TaskMon" = "%System%\taskmon.exe"

В отличие от одноименного системного файла Windows, файл червя всегда имеет размер 22KB.

Червь создает в системном каталоге Windows файл "shimgapi.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
 "(Default)" = "%SysDir%\shimgapi.dll"

Таким образом, данная DLL запускается как дочерний процесс "Explorer.exe".

Также червь создает файл "Message" во временном каталоге системы (обычно, %windir\temp). Данный файл содержит произвольный набор символов.

Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]

Для этой же цели, в процессе работы, червь создает уникальный идентификатор "SwebSipcSmtxSO".

Рассылка писем

При рассылке зараженных писем червь использует собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к почтовому серверу получателя.

Для обнаружения адресов электронной почты, по которым будет вестись рассылка зараженных писем, червь ищет на диске файлы, имеющие расширения:

asp
dbx
tbb
htm
sht
php
adb
pl
wab
txt

и собирает найденные в них адреса электронной почты. При этом червем игнорируются адреса, оканчивающиеся на ".edu".

Содержание зараженных писем

Адрес отправителя:

[произвольный]

Тема письма выбирается произвольно из списка:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Тело письма выбирается произвольно из списка:

test

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

The message contains Unicode characters and has been sent
as a binary attachment.

Mail transaction failed. Partial message is available.

Имя вложения может иметь либо одно слово, либо быть составленным из двух отдельных, соединенных символом "_":

document
readme
doc
text
file
data
test
message
body

Вложения могут иметь одно из расширений:

pif
scr
exe
cmd
bat

Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.

Размножение через P2P

Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

с расширением из списка:

bat
exe
scr
pif

Прочее

"Shimgapi.dll" представляет из себя прокси-сервер. Червь открывает на зараженной машине TCP порт из диапазона от 3127 до 3198 для приема команд. Функционал "бэкдора" позволяет злоумышленнику получить полный доступ к системе. Кроме этого, "бэкдор" может загружать из интернета и запускать на исполнение произвольные файлы.

В черве заложена функция организации DoS-атаки на сайт www.sco.com. Эта функция должна быть активирована 1 февраля 2004 года и будет работать вплоть до 12 февраля 2004 года. Червь каждую миллисекунду отсылает на 80 порт атакуемого сайта запрос GET, что в условиях глобальной эпидемии может привести к полному отключению данного сайта.

Печать

Закладки

Вредоносные программы

Вирусы и черви

Email-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
использование сервисов MS Outlook;
использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
считывает адреса из адресной базы WAB;
сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.

Другие модификации

Email-Worm.Win32.Mydoom.aa

Email-Worm.Win32.Mydoom.ab

Email-Worm.Win32.Mydoom.b

Email-Worm.Win32.Mydoom.d

Email-Worm.Win32.Mydoom.e

Email-Worm.Win32.Mydoom.g

Email-Worm.Win32.Mydoom.l

Email-Worm.Win32.Mydoom.m

Email-Worm.Win32.Mydoom.n

Email-Worm.Win32.Mydoom.q

Email-Worm.Win32.Mydoom.r

Email-Worm.Win32.Mydoom.s

Email-Worm.Win32.Mydoom.t

Email-Worm.Win32.Mydoom.u

Email-Worm.Win32.Mydoom.v

Email-Worm.Win32.Mydoom.y

Другие названия

Email-Worm.Win32.Mydoom.a («Лаборатория Касперского») также известен как:

Email-Worm.Mydoom.a («Лаборатория Касперского»)
I-Worm.Mydoom.a («Лаборатория Касперского»)
I-Worm.Novarg («Лаборатория Касперского»)
Virus: W32/Mydoom.a@MM (McAfee)
Virus: W32/Mydoom.a@MM!zip (McAfee)
W32/MyDoom-A (Sophos)
Worm.SCO.A-1 (ClamAV)
W32/Mydoom.A.worm (Panda)
W32/Mydoom.A@mm (FPROT)
Worm:Win32/Mydoom.A@mm (MS(OneCare))
Win32.HLLM.MyDoom (DrWeb)
Win32.HLLM.MyDoom.32768 (DrWeb)
Win32.Novarg.A@mm (BitDef7)
I-Worm.Mydoom.a (VirusBuster)
Win32:Mydoom-CA [Wrm] (AVAST)
Email-Worm.Win32.Mydoom (Ikarus)
Win32/Cryptor (AVG)
I-Worm/Mydoom.A (AVG)
document.htm .pif <<< WORM/Mydoom.A (AVIRA)
WORM/Mydoom.A.3 (AVIRA)
document.pif <<< WORM/Mydoom.A (AVIRA)
W32.Mydoom.A@mm (NAV)
NseCheckFile2() returned 0x00010018 (Norman)
W32/Mydoom.A@mm (NAI)
WORM_MYDOOM.BU (PCCIL)
Worm.Mail.Mydoom.dt (Rising)
Email-Worm.Win32.Mydoom.a [AVP] (FSecure)
WORM_MYDOOM.BU (TrendMicro)
Email-Worm.Win32.Mydoom.gen (v) (Sunbelt)
I-Worm.Mydoom.a (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».

kaspersky.ru

securelist.com