Имя:Worm/Mydoom.CI.2
Обнаружен:27/04/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:66.048 байт.
Контрольная сумма MD5:c75fefaff36976c46fb2b6dfc0df7ae0
Версия VDF:6.34.01.17 - четверг, 27 апреля 2006 г.
Версия IVDF:6.34.01.17 - четверг, 27 апреля 2006 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Mcafee: W32/Mydoom.bz@MM
   •  Kaspersky: Backdoor.Win32.IRCBot.rg
   •  TrendMicro: WORM_MYDOOM.BO
   •  VirusBuster: I-Worm.Mytob.TL
   •  Eset: Win32/Mydoom.BT


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Последствия:
   • Использует собственный почтовый движок
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\osalogbe.exe



Создаются следующие файлы:

– Файл с содержащимися в нем Email адресами:
   • %WINDIR%\mslog\scanlog.txt

%WINDIR%\mslog\%актуальная дата%.sys Файл содержит информацию о системе.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Osalogbe"="%SYSDIR%\osalogbe.exe"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
– Сгенерированные адреса


Тема:
Одно из следующих:
   • Western Union Payment Notification
   • Bank Wire Transfer
   • Payment Notification
   • Your request has been Approved
   • Life Time Opportunities
   • Congratulations
   • Money Transfer Notification
   • Final Notice Of Payment
   • Please follow this instructions



Тело:
Тело письма имеет один из следующих видов:
   • Final Notice Of Payment.Please check the attachment for details.
   • Your credit loans has been approved.Please check the attachment for details.
   • Your payment has been confirmed.Please check the attachment for details.
   • The wire transfer information you requested as been sent.Please see the attachment.
   • Your egold payment is waiting for you.Check the attachment for Details
   • Your egold payment is waiting for you.Click the attachment for Details
   • Please check the attached message to claim your money


Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • body.zip
   • message.zip
   • test.zip
   • data.zip
   • file.zip
   • text.zip
   • doc.zip
   • readme.zip
   • document.zip



Письмо выглядит следующим образом:


 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • txt
   • tmp


Создание адресов отправителя и получателя:
Для генерации адресов применяются следующие строки:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; brent; adam; ted; fred; jack; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      jim; maria; leo; jose; andrew; sam; george; david; kevin; mike; james;
      michael; alex; john

Комбинируется с доменным именем из следующего списка или с обнаруженными в файлах адресами

Одно из следующих доменных имен:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www


Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: irc.perthnet.**********
Порт: 6667
Канал: #owoduni

Сервер: anubis.zanet.**********
Порт: 6667
Канал: #owoduni

Сервер: vt.irc.**********
Порт: 6667
Канал: #owoduni

Сервер: irc.xevio**********
Порт: 6667
Канал: #owoduni



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Информация о запущенных процессах
    • Системная папка


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Загрузить файл
    • Запустить файл
    • Произвести DDoS атаку
    • Отправить электронную почту
    • Запуск программы контроля клавиатуры

 Backdoor Открывается порт:

%SYSDIR%\osalogbe.exe по TCP порту 6666 для обеспечения backdoor функции.

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • ASPack

Описание добавил Irina Boldea в(о) понедельник, 18 сентября 2006 г.
Описание обновил Irina Boldea в(о) вторник, 19 сентября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.