RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Mydoom.s
| Время детектирования | 09 сен 2004 12:57 MSK |
| Время выпуска обновления | 09 сен 2004 12:57 MSK |
| Описание опубликовано | 09 сен 2004 18:48 MSK |
Технические детали
Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам.
Червь является приложением Windows (PE EXE-файл), имеет размер около 18 КБ (упакован UPX, размер распакованного файла - около 44 КБ).
Червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Инсталляция
При инсталляции червь копирует себя в системный каталог Windows с именем "windrv32.exe" и регистрирует этот файл в ключе автозагрузки системного реестра:
[HKLM\Software\Windows\CurrentVersion\Run] "WinSPF"="%SysDir%\winspf32.exe"
Для определения своей активизации в системе червь использует идентификатор "qwedefacedRDE".
Рассылка писем
При рассылке писем в качестве домена отправителя могут использоваться произвольные строки из следующего списка:
aol.com cox.net dailymail.co.uk gmx.net hotmail.com mail.com msn.com t-online.de yahoo.co.uk yahoo.com
Зараженные письма
В остальном, данный вирус-червь очень похож на модификацию I-Worm.Mydoom.t.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- Email-Worm.
Mydoom. s («Лаборатория Касперского») - I-Worm.
Mydoom. s («Лаборатория Касперского») - Virus:
W32/Mydoom. u@MM (McAfee) - W32/MyDoom-U (Sophos)
- Worm.
Mydoom. Gen-unp (ClamAV) - W32/Mydoom.
U. worm (Panda) - W32/Threat-HLLSNP-based!Maximus (FPROT)
- Backdoor:
Win32/Mydoom. gen (MS(OneCare)) - Win32.
HLLM. MyDoom. 43520 (DrWeb) - Win32/Mydoom.
W worm (Nod32) - Win32.
Mydoom. V. 1@mm (BitDef7) - Win32:
Lmir-BK [Trj] (AVAST) - Email-Worm.
Win32. Mydoom. S (Ikarus) - I-Worm/Mydoom.
U (AVG) - WORM/Rbot.
Gen (AVIRA) - Infostealer (NAV)
- W32/Smalltroj.
PGDW (Norman) - Backdoor.
Rbot. jee (Rising) - WORM_MYDOOM.
GEN (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».