Имя:Worm/Mydoom.M.unp
Обнаружен:26/07/2004
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:41.408 байт.
Контрольная сумма MD5:6e821a45f567011c1aa88822efc14193
Версия VDF:6.26.00.44

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Symantec: W32.Mydoom.AZ@mm
   •  Mcafee: W32/Mydoom.o@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.am
   •  TrendMicro: WORM_MYDOOM.M
   •  Sophos: W32/MyDoom-BC
   •  Grisoft: I-Worm/Mydoom
   •  VirusBuster: I-Worm.Mydoom.AJ1
   •  Eset: Win32/Mydoom.AX
   •  Bitdefender: Win32.Mydoom.AQ@mm


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Использует собственный почтовый движок
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Использует уязвимость ПО

 Файлы Создается собственная копия:
   • %WINDIR%\java.exe



Создается файл:

%WINDIR%\services.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Tr/Mydoom.BB.1




Попытка загрузки следующего файла:

– Следующий URL:
   • www.imogenheap.co.uk/iblog/**********
На момент проверки данный файл не был доступен.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "JavaVM"="%WINDIR%\java.exe"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
– Собранные с помощью поисковых машин адреса


Тема:
Одно из следующих:
   • hello
   • error
   • status
   • test
   • report
   • delivery failed
   • Message could not be delivered
   • Mail System Error - Returned Mail
   • Delivery reports about your e-mail
   • Returned mail: see transcript for details
   • Returned mail: Data format error

Тема письма может содержать случайные знаки.


Тело:
–  Создается с помощью т.н. регулярного выражения.
–  В некоторых случаях может быть пустой.
–  В некоторых случаях может содержать произвольные данные.
Тело письма имеет один из следующих видов:

   • Dear user {%Электронный адрес получателя% |of %Домен получателя% },{ {{M|m}ail {system|server} administrator|administration} of %Домен получателя% would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
     
     {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
     {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
     {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
     
     {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
     
     {%Домен получателя% {user |technical |}support team.|The %Домен получателя% {support |}team.}

   • {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
     
     Your message {was not|could not be} delivered because the destination {computer|server} was {not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters.
     Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
     
     Your message {was not|could not be} delivered within %Число% days:
     {{{Mail s|S}erver}|Host} %случайный IP адрес% is not responding.
     
     The following recipients {did|could} not receive this message
     %Электронный адрес отправителя%
     
     Please reply to postmaster@{%Домен отправителя% |%Домен получателя%} if you feel this message to be in error

   • The original message was received at %актуальная дата%{| }from {%Домен отправителя% [%случайный IP адрес%]}
     
     ----- The following addresses had permanent fatal errors -----
     
     {<%Домен получателя%>|%Домен получателя%}
     
     {----- Transcript of {the ||}session follows -----
     
     ... while talking to {host |{mail |}server ||||}{%Домен получателя%.|%случайный IP адрес%}:
     
     {>>> MAIL F{rom|ROM}:%Домен отправителя%
     
     <<< 50%Число% {%Домен отправителя% ... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <%Домен получателя%>... {Mail quota exceeded|Message is too large}
     
     554 <%Домен получателя%>... Service unavailable|550 5.1.2 <%Домен получателя%>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; [%случайный IP адрес%] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
     
     Session aborted{, reason: lost connection|}|>>> RCPT To:<%Домен получателя%>
     
     <<< 550 {MAILBOX NOT FOUND|5.1.1 <%Домен получателя%>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
     
     {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output|}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed|}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded|}<<< 400}|}

   • The original message was included as attachment
     

   • {{The|Your} m|M}essage could not be delivered


Прикрепленный файл:
Имя прикрепленного файла образуется следующим образом:

–  Начинается одним из следующих:
   • readme
   • instruction
   • transcript
   • mail
   • letter
   • file
   • text
   • attachment
   • document
   • message
   • %случайная буквенная комбинация%

    Одно из следующих расширений файла:
   • cmd
   • bat
   • com
   • exe
   • pif
   • scr
   • zip

Прикрепленный файл является копией вредоносной программы:

Прикрепленный архивный файл содержит копию потенциально опасной программы.



Письмо выглядит следующим образом:


 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • doc
   • txt
   • htm
   • html


Создание адресов отправителя:
Для генерации адресов применяются следующие строки:
   • Postmaster
   • Mail Administrator
   • Automatic Email Delivery Software
   • Post Office
   • The Post Office
   • Bounced mail
   • Returned mail
   • MAILER-DAEMON
   • Mail Delivery Subsystem



Поисковая машина:
Для получения дополнительных адресов Email используются следующие поисковые машины:
   • http://search.lycos.com/
   • http://www.altavista.com/
   • http://search.yahoo.com/
   • http://www.google.com/



Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • mailer-d; spam; abuse; master; sample; accoun; privacycertific; bugs;
      listserv; submit; ntivi; support; admin; page; the.bat; gold-certs;
      feste; not; help; foo; soft; site; rating; you; your; someone; anyone;
      nothing; nobody; noone; info; winrar; winzip; rarsoft; sf.net;
      sourceforge; ripe.; arin.; google; gnu.; gmail; seclist; secur; bar.;
      foo.com; trend; update; uslis; domain; example; sophos; yahoo; spersk;
      panda; hotmail; msn.; msdn.; microsoft; sarc.; syma; avp


Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • mx.
   • mail.
   • smtp.

 Разное Мьютекс:
Создается мьютекс:
   • %computername%root%computername%rootx%computername%root%computername%rootxx

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.

Описание добавил Irina Boldea в(о) четверг, 18 мая 2006 г.
Описание обновил Irina Boldea в(о) понедельник, 22 мая 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.