Новая версия сетевого червя "Mydoom" ("Novarg") - "Mydoom.B" - готовится к атаке
Обнаруженная накануне новая версия сетевого червя "Mydoom" ("Novarg") - "Mydoom.B" - готовится к атаке.
Новая версия червя содержит минимум технологических отличий. Она также распространяется по электронной почте и файлообменной сети KaZaA. При e-mail рассылке используется другой набор текстовых строк для создания тела письма. Файл-носитель червя имеет размер около 28 килобайт и содержит текстовую строку "sync-1.01; andy; I'm just doing my job, nothing personal, sorry". "Mydoom.B" в период с 1 по 12 февраля проводит DDoS-атаку сразу на два веб-сайта: www.sco.com и www.microsoft.com.
Кроме того, червь модифицирует операционную систему таким образом, что пользователь зараженного компьютера не в состоянии соединиться с сайтами многих антивирусных компаний, новостными лентами, различными разделами сайта Microsoft и загружать данные из баннерных сетей.
Подробная информация от Viruslist:
Модифицированный вариант червя I-Worm.Mydoom.a. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa.
Червь является приложением Windows (PE EXE-файл), имеет размер 29184 байта, упакован UPX и PE-Patch. Размер распакованного файла около 49KB.
Червь активизируется только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайты www.microsoft.com и www.sco.com.
Часть тела вируса зашифрована.
В распакованном файле имеется текстовая строка:
(sync-1.01; andy; I'm just doing my job, nothing personal, sorry)
После старта червь запускает Windows Notepad в котором демонстрирует произвольный набор символов.
При инсталляции червь копирует себя с именем "explorer.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Explorer" = "%System%\explorer.exe"
Червь создает в системном каталоге Windows файл "ctfmon.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:
[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"Apartment" = "%SysDir%\ctfmon.dll"
Таким образом данная DLL будет запускаться как дочерний процесс Explorer.exe.
Также червь создает файл "Body" во временном каталоге системы (обычно, %windir%\temp). Данный файл содержит произвольный набор символов.
Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version] [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
Для этой же цели, в процессе работы, червь создает уникальный идентификатор "sync-v1.01__ipcmtx0".
Червь заменяет стандартный файл "hosts" в каталоге Windows на свой собственный, измененный таким образом, чтобы пользователь зараженной машины не мог получить доступ через интернет к следующим доменам:
ad.doubleclick.net ad.fastclick.net ads.fastclick.net ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net banner.fastclick.net banners.fastclick.net ca.com click.atdmt.com clicks.atdmt.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net fastclick.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com media.fastclick.net msdn.microsoft.com my-etrust.com nai.com networkassociates.com |
office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.fastclick.net www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.ru www3.ca.com |
Функция рассылки писем идентична примененной в варианте Mydoom.a, с небольшими изменениями.
Тело письма выбирается произвольно из списка:
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received The message contains Unicode characters and has been sent asa binary attachment. The message contains MIME-encoded graphics and has been sent as a binary attachment Mail transaction failed. Partial message is available.
Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.
Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:
NessusScan_pro attackXP-1.26 winamp5 MS04-01_hotfix zapSetup_40_148 BlackIce_Firewall_Enterpriseactivation_crack xsharez_scanner icq2004-final
с расширением из списка:
bat exe scr pif