Имя:Worm/Mydoom.L.2
Обнаружен:19/07/2004
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:78.756 байт.
Контрольная сумма MD5:a3026f698ac9b0c575f7ac39f1082e01
Версия VDF:6.26.00.35

 Общее Методы распространения:
   • Email
   • Одноранговая сеть


Псевдонимы (аliases):
   •  Symantec: W32.Mydoom.L@mm
   •  Mcafee: W32/Mydoom.n@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.m
   •  TrendMicro: WORM_MYDOOM.L
   •  Sophos: W32/MyDoom-N
   •  Grisoft: I-Worm/Mydoom.N
   •  VirusBuster: I-Worm.Mydoom.Q
   •  Eset: Win32/Mydoom.Q
   •  Bitdefender: Win32.Mydoom.L@mm


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Использует собственный почтовый движок
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %WINDIR%\lsass.exe



Создается файл:

– Файл с содержащимися в нем Email адресами:
   • %TEMPDIR%\%случайная буквенная комбинация%.txt

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Traybar" = "%WINDIR%\lsass.exe"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Тема:
Одно из следующих:
   • say helo to my litl friend
   • click me baby, one more time
   • hello
   • hi
   • error
   • status
   • test
   • report
   • delivery failed
   • Message could not be delivered
   • Mail System Error - Returned Mail
   • Delivery reports about your e-mail
   • Returned mail: see transcript for details
   • Returned mail: Data format error

Тема письма может содержать случайные знаки.


Тело:
Тело письма имеет один из следующих видов:

   • The original message was included as attachment

   • This Message was undeliverable due to the following reason:
     
     Your message was not delivered because the destination computer was
     not reachable within the allowed queue period. The amount of time
     a message is queued before it is returned depends on local configura-
     tion parameters.
     
     Most likely there is a network problem that prevented delivery, but
     it is also possible that the computer is turned off, or does not
     have a mail system running right now.
     
     Your message was not delivered within %несколько произвольных чисел% days:
     Host %случайный IP адрес% is not responding.
     
     The following recipients did not receive this message:
     %Электронный адрес получателя%
     
     Please reply to postmaster@%Домен отправителя%
     if you feel this message to be in error.

   • The original message was received at Tue, %актуальная дата% %актуальное время (часы)%
     from %Домен получателя% [%случайный IP адрес%]
     
     ----- The following addresses had permanent fatal errors -----
     %Электронный адрес получателя%
     
     ----- Transcript of session follows -----
      while talking to %Домен получателя%.:
     >>> MAIL From:%Электронный адрес отправителя%
     <<< 501 %Электронный адрес отправителя%... Refused

   • The original message was received at Tue, %актуальная дата% %актуальное время (часы)%
     from %Домен получателя% [%случайный IP адрес%]
     
     ----- The following addresses had permanent fatal errors -----
     %Электронный адрес получателя%


Прикрепленный файл:
Имена прикрепелнных файлов образуются следующим образом:

–  Начинается одним из следующих:
   • readme
   • transcript
   • mail
   • letter
   • file
   • text
   • attachment
   • document
   • message

    Одно из следующих расширений файла:
   • bat
   • cmd
   • com
   • exe
   • pif
   • scr
   • zip

Прикрепленный файл является копией вредоносной программы:

Прикрепленный архивный файл содержит копию потенциально опасной программы.



Письмо выглядит следующим образом:


 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • doc
   • txt
   • htm
   • html


Создание адресов отправителя:
Для генерации адресов применяются следующие строки:
   • Postmaster
   • Mail Administrator
   • Automatic Email Delivery Software
   • Post Office
   • The Post Office
   • Bounced mail
   • Returned mail
   • MAILER-DAEMON
   • Mail Delivery Subsystem



Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • .gov; .mil; abus; accoun; admi; anyone; arin.; avp; bar.; bug;
      contact; crosoft; domain; example; feste; foo.; gmail; gnu.;
      gold-certs; google; gov.; help; hotmail; info; labs; listserv; master;
      math; microsoft; msn.; nobody; noone; not; nothing; ntivi; ophos;
      page; panda; privacycertific; rarsoft; rating; ripe.; root; sample;
      sarc.; seclist; secur; service; sf.net; site; soft; someone;
      sourceforge; spam; spersk; spm; submit; suppor; syma; the.bat; update;
      uslis; winzip; you; your


Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • mx.
   • mail.
   • smtp.

 P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия:   Производится поиск содержащих одну из следующих последовательностей знаков папок
   • incoming
   • ftproot
   • download
   • shar

   При успешном завершении поиска создаются следующие файлы:
   • Kazaa Lite
   • Harry Potter
   • ICQ 4 Lite
   • WinRAR.v.3.2.and.key
   • Winamp 5.0 (en) Crack
   • Winamp 5.0 (en)

   Файлы являются копиями потенциально опасной программы

 Завершение процесса Завершение процессов с одним из следующих названий класса окна:
   • IEFrame
   • ATH_Note
   • rctrl_renwnd32


 Backdoor Открывается порт:

%Рабочая папка вредоносной программы%\%выполненный файл% по TCP порту 1042 для обеспечения backdoor функции.

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.

Описание добавил Irina Boldea в(о) вторник, 28 февраля 2006 г.
Описание обновил Robert Harja Iliescu в(о) вторник, 5 сентября 2006 г.

Назад . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Все права защищены.

Мой Аккаунт

https:// Это окно зашифровано для вашей безопасности.