RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Mydoom.ab
| Время детектирования | 27 окт 2004 11:24 MSK |
| Время выпуска обновления | 27 окт 2004 11:24 MSK |
| Описание опубликовано | 27 окт 2004 14:57 MSK |
Технические детали
Модифицированный вариант червя I-Worm.Mydoom.a. Распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл), имеет размер около 32КБ (упакован UPX, размер распакованного файла - около 83КБ).
Инсталляция
После запуска червь запускает Windows Notepad в котором демонстрирует произвольный набор символов.
При инсталляции червь копирует себя с именем "lsasrv.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "lsass"="%System%\lsasrv.exe"
Червь создает в системном каталоге Windows файл "version.ini".
При своем запуске червь выгружает из памяти запущенные межсетевые экраны.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- Email-Worm.
Mydoom. ab («Лаборатория Касперского») - I-Worm.
Mydoom. ab («Лаборатория Касперского») - Virus:
W32/Mydoom. af@MM (McAfee) - W32/MyDoom-AG (Sophos)
- Worm.
Mydoom. Gen-unp (ClamAV) - W32/Swash.
A. worm (Panda) - W32/Mydoom.
AG@mm (FPROT) - Worm:
Win32/Swash. A@mm (MS(OneCare)) - Win32.
HLLM. MyDoom. 2 (DrWeb) - Win32/Swash.
A worm (Nod32) - Win32.
Swash. A@mm (BitDef7) - I-Worm.
Mydoom. AF (VirusBuster) - Win32:
Swash [Wrm] (AVAST) - Email-Worm.
Win32. Mydoom (Ikarus) - I-Worm/Swash.
A (AVG) - WORM/Mydoom.
AB (AVIRA) - W32.
Mydoom. AG@mm (NAV) - MyDoom.
AG@mm (Norman) - W32/Mydoom.
af@MM (NAI) - WORM_MYDOOM.
BS (PCCIL) - Worm.
NetSky. aj (Rising) - Email-Worm.
Win32. Mydoom. ab [AVP] (FSecure) - WORM_MYDOOM.
BS (TrendMicro) - Email-Worm.
Win32. Mydoom. gen (v) (Sunbelt) - I-Worm.
Mydoom. AF (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».