Email-Worm.Win32.Mydoom.d

Технические детали

Вирус-червь, распространяющийся через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa.

Червь является приложением Windows (PE EXE-файл), имеет размер около 24КБ, упакован UPX. Размер распакованного файла около 45KB.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После своего запуска червь запускает Windows Notepad в котором демонстрирует произвольный набор символов.

При инсталляции червь копирует себя с именем "taskmon.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "TaskMon"="%System%\taskmon.exe"

Червь создает в системном каталоге Windows файл "shimgapi.dll", являющийся бэкдор-компонентом (прокси-сервер).

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу, а также ищет адреса в файлах со следующими расширениями:

adb
asp
dbx
htm
php

pl
sht
tbb
txt
wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

.gov
.mil
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
google
gov.
help
hotmail
iana

ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster

privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
unix
usenet
utgers.ed
webmaster
you
your

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Комбинируется по частям из следующих списков:

Имя:

adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy

joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom

Домен отправителя:

aol.com
hotmail.com
msn.com
yahoo.com

Тема письма:

Выбирается произвольным образом из списка:

Error
hello
hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Test

Текст письма:

Используется один из предустановленных вариантов, например:

test
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Имя файла-вложения:

Выбирается произвольным образом из списка:

body
data
doc
document
file
message
readme
test
text

Вложения могут иметь одно из расширений:

bat
cmd
doc
exe
htm
pif
scr
tmp

Размножение через P2P

Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:

activation_crack
icq2004-final
nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
winamp5

Расширения присваиваются из списка:

bat
exe
pif
scr

Удаленное администрирование

"Shimgapi.dll" представляет собой прокси-сервер. Червь открывает на зараженной машине TCP порт 3127 для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Кроме этого, бэкдор может загружать из интернета и запускать на исполнение произвольные файлы.

Прочее

После 14 февраля 2006, 02:28:57 I-Worm.Mydoom.d перестает работать и распространять свои копии. Установленный им бэкдор остается полностью работоспособным.