Email-Worm.Win32.Mydoom.aa

Технические детали

Модифицированный вариант червя Mydoom.a. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Червь является приложением Windows (PE EXE-файл), имеет размер 51712 байт, упакован UPX.

Червь активизируется только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь содержит в себе бэкдор-компонент.

Инсталляция

При инсталляции червь копирует себя с именем "avpr.exe" в системный каталог Windows и регистрирует этот файл в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "Avpr"="%System%\avpr.exe"

Червь создает в системном каталоге Windows файл "tcp5424.dll", являющийся бкэдор-компонентом и также регистрирует его в системном реестре:

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
 "Default"="%SysDir%\tcp5424.dll"

Таким образом данная DLL будет запускаться как дочерний процесс "Explorer.exe".

Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:

[HKLM\Software\Microsoft\Windows\Ddinfect]
[HKCU\Software\Microsoft\Windows\Ddinfect]

Также червем создается в памяти уникальный идентификатор "My-Game".

Червь заменяет стандартный файл "hosts" в каталоге Windows на свой собственный, измененный таким образом, чтобы пользователь зараженной машины не мог получить доступ через интернет к следующим доменам:

avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com

Червь создает в системном каталоге Windows файл с именем "msg15.txt", содержащий следующий текст:

Lucky's Av's ;P~. Sasser author gets IT security job and we will work with Mydoom , P2P worms and exploit codes .Also we will attack f-secure,symantec,trendmicro,mcafee , etc. The 11th of march is the skynet day lol . When the beagle and mydoom loose, we wanna stop our activity <== so Where is the Skynet now? lol.
This Will Drop W32.Scran P2P Worm

Также червь пытается загрузить с удаленного сайта файл "scran.jpg" и сохранить его в корневом каталоге диска C: с именем "Scran.exe". Данный файл является другим сетевым червем Worm.P2P.Scranor.a.

Рассылка писем

Функция рассылки писем идентична примененной в варианте "a", с небольшими изменениями.

Текст письма произвольно выбирается и формируется из трех частей:

Daily Report.
here is the document.
Important Information.
Reply
your document.

Check the attached document.
Details are in the attached document.
Kill the writer of this document!
Monthly news report.
Please answer quickly!.
Please confirm!.
Please read the attached file!.
Please see the attached file for details
Please see the attached file for details.
See the attached file for details
Waiting for a Response. Please read the attachment.

+++ Attachment: No Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com
+++ F-Secure AntiVirus - www.f-secure.com
+++ Kaspersky AntiVirus - www.kaspersky.com
+++ MessageLabs AntiVirus - www.messagelabs.com
+++ MC-Afee AntiVirus - www.mcafee.com
+++ Norman AntiVirus - www.norman.com
+++ Norton AntiVirus - www.symantec.com
+++ Panda AntiVirus - www.pandasoftware.com

Backdoor

Устанавливаемая червем DLL "tcp5424.dll" является бэкдором. Червь открывает для приема команд порт TCP 5424.

Прочее

Червь ищет в системном реестре ключи "ICQ Net" и "MsnMsgr" и удаляет их.