RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Mydoom.u
| Время детектирования | 09 сен 2004 20:58 MSK |
| Время выпуска обновления | 09 сен 2004 20:58 MSK |
| Описание опубликовано | 27 окт 2004 17:54 MSK |
Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Загружает и активизирует программу удаленного администрирования Backdoor.Win32.Surila.
Червь является приложением Windows (PE EXE-файл), имеет размер около 18КБ (упакован UPX, размер распакованного файла - около 44КБ).
Инсталляция
При инсталляции червь копирует себя в системный каталог Windows с именем "windrv32.exe" и регистрирует этот файл в ключе автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "WinSPF"="%WinSysDir%\windrv32.exe"
Распространение через email
Для поиска адресов жертв червь сканирует записную книгу, а также ищет адреса в файлах со следующими расширениями:
asp cfg cgi dbx dht eml htm jsp mht msg |
php sht stm tbb txt uin vbs wab xls |
Для отправки почты червь использует прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Отправитель:
Комбинируется по частям из следующих списков:
Имя:
Alex Alexander Andrew Anthony Barry Bernard Bill Brian Calvin Carl Charles Christopher Clifford Daniel David Dennis Donald Douglas Edward Eric Francisco Frank Gary George |
Gregory Harold Henry James Jason Jay Jeffrey Jerry Jim John Jon Jose Joseph Joshua Kenneth Kevin Larry Leon Leroy Lloyd Marcus Mario Mark Matthew |
Michael Miguel Oscar Patrick Paul Peter Randall Raymond Richard Ricky Robert Ronald Ronnie Scott Stephen Steven Theodore Thomas Timothy Tom Tommy Troy Walter William |
Фамилия:
Adams Allen Anderson Baker Brown Campbell Carter Clark Cruz Davis Freeman Garcia Gomez Gonzalez Green Hall Harris Hernandez Hill Jackson |
Johnson Jones King Lee Lewis Lopez Marshall Martin Martinez Miller Mitchell Moore Murray Nelson Ortiz Parker Perez Phillips Porter Roberts |
Robinson Rodriguez Scott Simpson Smith Stevens Taylor Thomas Thompson Tucker Turner Walker Webb Wells White Williams Wilson Wright Young |
Домен отправителя:
aol.com cox.net dailymail.co.uk gmx.net hotmail.com mail.com msn.com t-online.de yahoo.co.uk yahoo.com
Тема письма:
Выбирается из списка:
hello here hi Hi! important Information my News Notice again Private document Re: Hello Re: Hi Re: Message Re: Proof of concept Re: Question Re: Status Re: Your document read it immediately Thank you! thanks! You win!
Текст письма:
Используется один из вариантов:
apply patch. apply this patch! Can you confirm it? For further details see the attachment.... For more details see the attachment. fun game! fun photos fun! game I have attached document. lol! Monthly news report. New game Please answer quickly! Please confirm the document. Please confirm! Please read the attached file! Please read the attached file. Please read the document. Please read the important document. Please see the attached file for detail... relax screensaverlol! See attached file for details. See the file. See the file. Thanks! Thanks! Virus removal tool Waiting for a Response. Please read the... You are infected by virus. Run this exe... Your archive is attached. Your requested mail has been attached.
Подпись к письму:
Формируется по следующему шаблону:
+++ Attachment: No Virus found +++ %s
где %s выбирается из списка:
Bitdefender AntiVirus - www.bitdefender.com F-Secure AntiVirus - www.f-secure.com Kaspersky AntiVirus - www.kaspersky.com MC-Afee AntiVirus - www.mcafee.com MessageLabs AntiVirus - www.messagelabs.com Norman AntiVirus - www.norman.com Norton AntiVirus - www.symantec.de Panda AntiVirus - www.pandasoftware.com
Имя файла-вложения:
Выбирается произвольным образом из списков:
bill.doc .pif bill.rtf .pif bill.txt .pif doc.doc .pif doc.rtf .pif doc.txt .pif document.doc .pif mesg.doc .pif mesg.rtf .pif mesg.txt .pif Message.html .pif rep.txt .pif report.doc .pif report.rtf .pif report.txt .pif review.doc .pif review.rtf .pif review.txt .pif
antivirus.exe bill.zip data.zip details.zip doc.zip doc.zip document.zip file.exe file.zip fun.scr game.exe info.zip information.zip letter.zip lol.scr message,.zip new.exe new.zip patch.exe photo.exe pic.exe report.zip
Удаленное администрирование
Червь пытается загрузить программу удаленного администрирования Backdoor.Win32.Surila со следующих сайтов:
http://vugs.geog.uu.nl http://www.ach.ch http://www.hiw.kuleuven.ac.be http://www.llc.unibo.it http://www.mercyships.de http://www.planetboredom.net http://www.surrenderzeeland.nl
Прочее
После 20 сентября 2004, 01:18:31 I-Worm.Mydoom.u перестает работать и стирает свои файлы с жесткого диска. Установленная червем программа Backdoor.Win32.Surila при этом остается полностью работоспособной.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- Email-Worm.
Mydoom. u («Лаборатория Касперского») - I-Worm.
Mydoom. u («Лаборатория Касперского») - Virus:
W32/Mydoom. w@MM (McAfee) - W32/MyDoom-V (Sophos)
- Worm.
Mydoom. W (ClamAV) - W32/Mydoom.
W. worm (Panda) - W32/Mydoom.
T@mm (FPROT) - Worm:
Win32/Mydoom. Y@mm (MS(OneCare)) - Win32.
HLLM. MyDoom. 43520 (DrWeb) - Win32/Mydoom.
V worm (Nod32) - Win32.
Mydoom. V. 3@mm (BitDef7) - Win32:
Mydoom-S2 [Wrm] (AVAST) - Email-Worm.
Win32. Mydoom (Ikarus) - I-Worm/Mydoom.
U (AVG) - WORM/Mydoom.
U. 3 (AVIRA) - W32.
Mydoom. T@mm (NAV) - MyDoom.
R@mm (Norman) - W32/Mydoom.
w@MM (NAI) - WORM_MYDOOM.
CF (PCCIL) - Backdoor.
Rbot. jee (Rising) - W32/Mydoom.
W@mm [Orion] (FSecure) - WORM_MYDOOM.
CF (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».