Email-Worm.Win32.Mydoom.q

Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Написан на языке Microsoft Visual C++. Упакован UPX. Размер в упакованном виде - 27136 байт, в распакованном - 65024 байта.

Инсталляция

После запуска копирует свой файл в каталог Windows под именем "rasor38a.dll" и в системный каталог Windows под именем "winpsd.exe".

Червь регистрирует себя в ключе автозагрузки системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "winpsd"="<системный каталог Windows>\winpsd.exe"

Также червь создает уникальный идентификатор "43jfds93872" для определения своего присутствия в системе.

Размножение

Червь ищет email-адреса для рассылки зараженных писем в файлах на жестких дисках с расширениями:

adbh
aspd
dbxn
htmb
phpq
pl
shtl
tbbg
txt
wab

Зараженные письма

Заголовок письма:

Photos

Текст письма:

LOL!;))))

Имя вложения:

photos_arc.exe

Действие

Червь пытается загрузить файл с одного из адресов, прописанных в его теле (окончания ссылок заменены на "x" из соображений безопасности):

http://www.richcolour.com/ispy.x.xxx
http://www.richcolour.com/coco3.xxx
http://www.richcolour.com/guestbook/temp/temp587.xxx
http://zenandjuice.com/guestbook/temp/temp728.xxx

Данный файл является программой удаленного администрирования Backdoor.Win32.Surila.g.

В случае успешной загрузки, файл сохраняется в каталоге Windows под именем "winvpn32.exe" и запускается. Также в системном реестре создается флаг, сигнализирующий об успешной загрузке файла:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer]
 "InstaledFlashhMX"="1"

Червь проверяет состояние этого флага, и в случае если он имеет значение "1", повторные загрузки файла производить не пытается.

Прочее

Механизмы распространения данной версии червя прекратят свою деятельность 20 августа 2004 года после 21:11:11, однако установленный на зараженном компьютере Backdoor.Win32.Surila.g останется работоспособным.