Email-Worm.Win32.Mydoom.e

Технические детали

Модифицированный вариант червя Mydoom.a, также известный как Mydoom.F (по версии других антивирусных продуктов).

Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 33KB (или больше), упакован UPX. Размер распакованного файла около 55KB. Червь также может рассылать себя в виде ZIP-архивов.

Червь активизируется, если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайты www.microsoft.com и www.riaa.com.

По всей видимости, это не "авторская" разработка, а отдельный вариант, созданный на основе оригинальных исходных кодов Mydoom.a, причем часть оригинального кода присутствует в данном варианте, однако не используется.

Инсталляция

После запуска червь выводит (может выводить) на экран ложные сообщение об ошибке "File is corrupted", "File cannot be opened" или "Unable to open specified file".

Также червь может создавать во временном каталоге системы файл с произвольным набором символов и открывать данный файл в Блокноте Windows.

Создает в памяти уникальный идентификатор "jmydoat [имя зараженного компьютера] Xmtx" для определения своего присутствия в системе.

При инсталляции червь копирует себя с произвольным именем в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "произвольные символы" = "%System%\[имя файла червя]"

Червь последовательно перебирает все доступные диски с C: до Z: и копирует себя с произвольными именами во все найденные на этих дисках каталоги, имеющие в своем название строки:

shar
startup
start

Червь создает в системном каталоге Windows файл с произвольным именем и расширением "dll", размером 9724 байта, являющийся "бэкдор"-компонентом. Он должен открывать backdoor на порту 1080 TCP и выполнять функции прокси-сервера.

В корневом каталоге Windows червь создает несколько своих копий в виде ZIP-архивов. Данные файлы потом используются для рассылки по электронной почте.

Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Shell]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Shell]

Рассылка писем

Для рассылки своих копий, червь ищет на всех доступных дисках с C: до Z: файлы с расширениями из списка:

wab
mbx
nch
mmf
ods
rtf
uin
oft
mht
vbs
msg
pl
eml
adb
tbb
dbx
asp
php
sht
htm
txt

и рассылает себя по всем, найденным в них, адресам электронной почты.

Зараженные письма имеют следующие характеристики:

От:

любой адрес из найденных на зараженной машине или же выбирается из списка:

jerry
bill
smith
jim
sam
james
alex

или используется произвольный набор символов.

Во втором случае, после символа "@" в адресе отправителя используется домен из списка:

aol.com
msn.com
yahoo.com
hotmail.com
edu

Тема письма (выбирается произвольно):

hello
hi
Announcement
read now!
forget
bug
unknown
fake
Wanted
recent news
news
stolen
Attention
Accident
Schedule
Re: Thank you
Thank you
Re: Details
Details
Re: Approved
Approved
hi, it's me
Important
Readme
Read this message
please read
please reply
Thank You very very much
You use illegal File Sharing...
Your IP was logged
Your account is about to be expired
Love is
Love is...
Undeliverable message
Re: 
Your order was registered
Your request was registered
Your order is being processed
Your request is being processed
Current Status
Your credit card
Read it immediately!
Read this
Read it immediately
Something for you
For you
For your information
Information
Warning
You have 1 day left
automatic notification
automatic responder
Notification
Expired account
Your account has expired
Registration confirmation
Confirmation
Confirmation Required
Returned Mail

Текст письма (выбирается произвольно):

Greetings
See you
Here it is
You are bad
Take it
Reply
Please, reply
Okay
OK
Everything ok?
Check the attached document.
The document was sent in compressed format.
Please see the attached file for details
See the attached file for details
Details are in the attached document. You need Microsoft Office to open it.
Information about you
We have received this document from your e-mail.
Kill the writer of this document!
Something about you
I have your password :)
You are a bad writer
Is that yours?
Is that from you?
I wait for your reply.
Here is the document.
Read the details.
I'm waiting

Имя вложения (выбирается произвольно):

body
message
test
data
file
text
readme
document
doc
msg
photo
resume
image
object
website
friend
jokes
joke
approved
paypal
disc
misc
part3
part2
part4
part1
mail2
list
mail
story
about
money
check
product
notes
your_document
note
information
textfile
posting
post
stuff
attachment
creditcard
details

или произвольные символы.

Вложенный файл имеет расширение из списка:

exe
scr
com
pif
bat
cmd
zip

а также двойное расширение, составляющееся из следующих значений:

doc
htm
rtf
xls
jpg
gif
png
txt

exe
pif
scr

DoS атака

Если системная дата находится в промежутке между 17 и 22 числом текущего месяца, то червь с вероятностью 2/3 осуществляет DoS-атаку на сайт www.microsoft.com или с вероятностью 1/3 на сайт www.riaa.com. Процедура проведения DoS-атаки полностью идентична ранним версиям Mydoom (множественные GET-запросы на 80 порт атакуемых сайтов).

Удаление файлов

Червь ищет на всех доступных дисках от C: до Z: файлы с расширениями "mdb", "doc","xls","sav","jpg","avi","bmp" и в зависимости от счетчика случайных чисел удаляет произвольно выбранные файлы с данными расширениями.

Прочее

Червь ищет в памяти запущенные процессы, содержащие в себе строки:

reged
taskmo
taskmg
avp.
avp32
norton
navapw
navw3
intrena
mcafe

и пытается прекратить их работу.