Интернет-червь под именем Mydoom /Novarg/ с 1 февраля начнет атаку на сайты
Служба круглосуточного мониторинга "Лаборатории Касперского" сообщила о зафиксированой в ночь с 27 на 28 января 2004 года крупномасштабной эпидемии почтового червя Mydoom, еще известного под наименованием Novarg. Сейчас антивирусными компаниями этой эпидемии присвоен максимальный уровень опасности.
Количество зараженных писем в интернете уже исчисляется несколькими миллионами экземпляров. Распространяется интернет-зараза в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB.
Червь активизируется, только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайт www.sco.com 1 февраля 2004 года.
При рассылке зараженных писем червь использует собственную
SMTP-библиотеку. Червь пытается осуществить прямое подключение к почтовому
серверу получателя. Для обнаружения адресов электронной почты, по которым будет
вестись рассылка зараженных писем, червь ищет на диске файлы, имеющие расширения
/ asp, dbx, tbb, htm, sht, php, adb, pl, wab, txt/ и собирает найденные в них адреса электронной почты. При этом червем игнорируются адреса, оканчивающиеся на ".edu".
В
черве заложена функция организации DoS-атаки на сайт www.sco.com. Эта функция
должна быть активирована 1 февраля 2004 года и будет работать вплоть до 12
февраля 2004 года. Червь каждую миллисекунду отсылает на 80 порт атакуемого
сайта запрос GET, что в условиях глобальной эпидемии может привести к полному
отключению данного сайта.