Имя:Worm/Mydoom.CD
Обнаружен:21/03/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:28.160 байт.
Контрольная сумма MD5:eda0ab20b95a3722b04101490D340E20
Версия VDF:6.34.00.76

 Общее Методы распространения:
   • Email
   • Одноранговая сеть


Псевдонимы (аliases):
   •  Kaspersky: Email-Worm.Win32.Gurong.a
   •  TrendMicro: WORM_MYDOOM.BK

Ранее были обнаружены как:
   •  Worm/Mydoom.CD.2


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Использует собственный почтовый движок
   • Изменение реестра

 Файлы Создается собственная копия:
   • %SYSDIR%\wmedia16.exe



Выполненная копия программы удаляется.



Создаются следующие файлы:

– Файлы предназначены для временного использования и могут быть удалены.
   • %TEMPDIR%\removeMe%Число%.bat
   • %TEMPDIR%\tmp%Шестнадцатиричное число%.tmp




Попытка загрузки следующего файла:

– Следующие URL:
   • 65.19.**********
   • 64.62.**********
Сохраняется локально в: c:\mp.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Mydoom.CD.1

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • WMedia16 = wmedia16.exe

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Сгенерированные адреса


Тема:
Одно из следующих:
   • Re: I got it! Try it now!
   • Re[2]: wazzup bro
   • Re: Hello
   • Greetings!
   • Hey dear!
   • Hello friend ;)
   • Wazzap bro!!
   • Hey! How are you doing bud?

Тема письма иногда может оставаться пустой.
Тема письма может содержать случайные знаки.


Тело:
–  В некоторых случаях может быть пустой.
–  В некоторых случаях может содержать произвольные данные.
Тело письма имеет один из следующих видов:
   • Hey dear! Here is my photos, as I promised.
   • Hello bro! Here is my new girlfriend's photo! Check it out!
   • Hey man! Take a look at attachment!
   • Hello buddy! Take a look at attachment! Here is my nude 17-yr sister!
   • Whatz up man! There is my nude 17-yr sister in the attachment!
   • Greetings! Check out my portfolio, please! Here is some my photos in the archive.
   • Greetings. Here is some my nude photos in the attachment.
   • Hey bro! Check out attachment! There is a new plug-in for skype!
   • Hello! I sent you new skype plug-in, as you wished.
   • Hello! There is NEW plug-in for MSN. Try it out!
   • Hello! Here is NEW smiles pack for MSN messenger! It is really cool ;)
   • Hey friend! Try this new smiles pack for MSN messenger!


Прикрепленный файл:
Имя прикрепленного файла образуется следующим образом:

–  Начинается одним из следующих:
   • body
   • i_love_u
   • i_luv_u
   • conf_data
   • port_imgs
   • sex_pics
   • doc
   • sex_girls
   • document
   • %случайная буквенная комбинация%

    Одно из следующих расширений файла:
   • .bat
   • .cmd
   • .exe
   • .pif
   • .scr
   • .zip



Письмо могло бы выглядеть следующим образом:



 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • txt
   • htm
   • sht
   • php
   • asp
   • dbx
   • tbb
   • adb
   • wab


Создание адресов отправителя и получателя:
Для генерации адресов применяются следующие строки:
   • john; john; alex; michael; james; mike; kevin; david; george; sam;
      andrew; jose; sandra; den; dmitry; vlad; alexey; olga; leo; maria;
      jim; brian; serg; mary; ray; tom; peter; robert; bob; jane; linda;
      craig; jayson; lee; cyber; frank; joe; dan; dave; matt; steve; smith;
      adam; brent; alice; anna; brenda; claudia; debby; helen; jerry; jimmy;
      julie; linda; marina; vladimir; nikolay; gerhard; ilya; boris

Комбинируется с доменным именем из следующего списка или с обнаруженными в файлах адресами

Одно из следующих доменных имен:
   • yahoo.com
   • msn.com
   • earthlink.net
   • aol.com
   • hotmail.com


Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • .aero; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp;
      mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      alert; page; the.bat; fethard; gold-certs; feste; submit; not; help;
      service; privacy; somebody; soft; contact; site; rating; bugs; you;
      your; someone; AccountRobot; anyone; nothing; nobody; noone;
      webmaster; webmoney; postmaster; samples; info; root; fraud; accoun;
      google; certific; listserv; linux; bsd; unix; ntivi; support;
      icrosoft; admin; spm; fcnz; www; secur; abuse; .edu;


Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия:   Для определения стандартной папки для загрузки происходит обращение к реестру:
   • HCKU\Software\Kazaa\Transfer\DlDir0

   При успешном завершении поиска создаются следующие файлы:
   • winamp5.bat; icq5.bat; xp_activation.bat; strip-girl4.bat0c.bat;
      dcom_patches.bat; lsas_patches.bat; msblast_patches.bat;
      skype_video.bat; 0day_patch.bat; office_crack.bat;
      trillian_crack_all.bat; winamp5.cmd; icq5.cmd; xp_activation.cmd;
      strip-girl4.cmd0c.cmd; dcom_patches.cmd; lsas_patches.cmd;
      msblast_patches.cmd; skype_video.cmd; 0day_patch.cmd;
      office_crack.cmd; trillian_crack_all.cmd; winamp5.exe; icq5.exe;
      xp_activation.exe; strip-girl4.exe0c.exe; dcom_patches.exe;
      lsas_patches.exe; msblast_patches.exe; skype_video.exe;
      0day_patch.exe; office_crack.exe; trillian_crack_all.exe; winamp5.pif;
      icq5.pif; xp_activation.pif; strip-girl4.pif0c.pif; dcom_patches.pif;
      lsas_patches.pif; msblast_patches.pif; skype_video.pif;
      0day_patch.pif; office_crack.pif; trillian_crack_all.pif; winamp5.scr;
      icq5.scr; xp_activation.scr; strip-girl4.scr0c.scr; dcom_patches.scr;
      lsas_patches.scr; msblast_patches.scr; skype_video.scr;
      0day_patch.scr; office_crack.scr; trillian_crack_all.scr; winamp5.zip;
      icq5.zip; xp_activation.zip; strip-girl4.zip0c.zip; dcom_patches.zip;
      lsas_patches.zip; msblast_patches.zip; skype_video.zip;
      0day_patch.zip; office_crack.zip; trillian_crack_all.zip

   Файлы являются копиями потенциально опасной программы

 Разное Интернет соединение:


Связывается со следующим веб-сайтом для проверки установленного Интернет-соединения:
   • http://windowsupdate.microsoft.com


Мьютекс:
Создается мьютекс:
   • systemHNDLR9r21

 Технология Rootkit Эта технология описывает определенный вид потенциально опасных программ. ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя.


Скрывает следующее:
– Собственный файл
– Собственный процесс
– Собственный ключ реестра


Используемый метод:
    • Невидимый из Windows API

Внедряется в следующие API-функции:
   • NtClose/ZwClose
   • NtCreateFile/ZwCreateFile
   • NtEnumerateKey/ZwEnumerateKey
   • NtEnumerateValueKey/ZwEnumerateValueKEy
   • NtOpenFile/ZWOpenFile
   • NtQueryDirectoryFile/ZwQueryDirectoryFile

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Andrei Gherman в(о) среда, 22 марта 2006 г.
Описание обновил Andrei Gherman в(о) четверг, 30 марта 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.