Email-Worm.Win32.Mydoom.l

Технические детали

Сетевой червь, распространяющийся через интернет в виде вложений в электронные письма, через файлообменные сети и открытые на запись сетевые ресурсы. Адреса для рассылки писем червь собирает на зараженном компьютере. Червь содержит бэкдор-функцию.

Файл червя имеет формат Windows PE EXE размером около 21КБ.

Инсталляция

После своего запуска червь копирует себя в папку Windows под именем "lsass.exe". Файл "lsass.exe", располагающийся в системной папке Windows, является стандартной службой Local Security Authority Subsystem Service, входящей в поставку Windows NT/2000/XP. Таким образом, червь пытается замаскировать свое присутствие на пораженном компьютере.

Затем червь регистрирует этот файл в ключе автозагрузки системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
 "Traybar"="%WinDir% \LSASS.EXE"

Червь ищет на компьютере папки, в названиях которых присутствуют следующие подстроки:

download
ftproot
incoming
Share

Если подобные папки найдены, то червь копирует себя в каждую из них под следующими именами:

Harry Potter
ICQ 4 Lite
index
Kazaa Lite
Winamp 5.0 (en)
Winamp 5.0 (en) Crack
WinRAR.v.3.2.and.key

Расширение для этих файлов выбирается из следующих вариантов:

com
exe
scr
ShareReactor.com

Размножение

Поиск адресов email для рассылки писем с зараженными вложениями Mydoom.l осуществляет на дисках пораженного компьютера в файлах с расширениями:

doc
htm
html
txt

Для отправки письма червь осуществляет прямое подключение к SMTP-серверу получателя.

Характеристики зараженных писем

Адрес отправителя:

Подделывается. В качестве адреса отправителя используется один из адресов, найденных на дисках компьютера, с которого осуществляется рассылка зараженных писем.

Тема:

Выбирается из следующих вариантов:

click me baby, one more time
delivery failed
Delivery reports about your e-mail
error
hello
hi
Mail System Error - Returned Mail
Message could not be delivered
report
Returned mail: Data format error
Returned mail: see transcript for details
say helo to my litl friend
status
test

Текст письма:

Выбирается из следующих вариантов:

• The original message was included as attachment

• This Message was undeliverable due to the following reason:
  Your message was not delivered because the destination computer was
  not reachable within the allowed queue period. The amount of time
  a message is queued before it is returned depends on local configuration parameters.
  Most likely there is a network problem that prevented delivery, but
  it is also possible that the computer is turned off, or does not
  have a mail system running right now.

• Your message was not delivered within [ ] days:
  Host $i is not responding.

• The following recipients did not receive this message:
  <[ ]>
  Please reply to postmaster@[ ]
  if you feel this message to be in error.

• The original message was received at [ ]
  from [ ]
  ----- The following addresses had permanent fatal errors -----
  <[ ]>
  ----- Transcript of session follows -----
  while talking to [ ].:
  >>> MAIL From:[ ]
  <<< 501 [ ]... Refused

• The original message was received at $w
  from [ ]
  ----- The following addresses had permanent fatal errors -----
  <[ ]>

Файл-вложение:

Имя файла-вложения выбирается из следующих вариантов:

<blank>
attachment
document
file
letter
mail
message
readme
text
transcript

Расширение имени файла-вложения выбирается из следующего списка:

bat
cmd
com
exe
pif
scr
zip

Удаленное администрирование

Бэкдор-компонент Mydoom.l открывает и отслеживает активность на TCP-порту 1042 с целью получения команд злоумышленника.