Полное описание

Имя:	Worm/Mydoom.BH.1
Обнаружен:	31/08/2007
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Средний
Потенциал распространения:	Средний
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	131.072 байт.
Контрольная сумма MD5:	1aec7aebd916c3862131af0F7fe46da2
Версия VDF:	6.39.01.017
Версия IVDF:	6.39.01.018

Общее Метод распространения:
   • Email

Псевдонимы (аliases):
   • Mcafee: W32/Mydoom.gen@MM
   • Kaspersky: Email-Worm.Win32.Mydoom.bh
   • F-Secure: Email-Worm.Win32.Mydoom.bh
   • Sophos: W32/MyDoom-BX
   • Panda: W32/Mydoom.DL.worm
   • Grisoft: I-Worm/Generic.BXO
   • Eset: Win32/Mydoom.NA
   • Bitdefender: Generic.Mydoom.4C96A5D8

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Блокирует доступ к веб-страницам IT-security компаний
   • Использует собственный почтовый движок
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создается собственная копия:
• %SYSDIR%\dvupdate.exe

Выполненная копия программы удаляется.

Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
• %TEMPDIR%\tmp%Шестнадцатиричное число%.tmp

– %TEMPDIR%\%случайная буквенная комбинация%.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
• Driver Update="%SYSDIR%\dvupdate.exe"

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:

От:
Адрес отправителя был фальсифицирован.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты

Тема:
Одно из следующих:
   • A friendly warning
   • Greetings. Please read on.
   • Hello there! Read on.
   • Hey, just warning you
   • HEY, THIS IS KINDA URGENT
   • Some important information
   • You might want to read this...
   • You need to protect yourself

Тема письма иногда может оставаться пустой.
Тема письма может содержать случайные знаки.

Тело:
–  Создается с помощью т.н. регулярного выражения.
– В некоторых случаях может быть пустой.
– В некоторых случаях может содержать произвольные данные.
Тело письма имеет один из следующих видов:

   • I don't know if you have heard yet or not but there's a deadly computer virus going around lately...
     I got caught by it the other day and lost all my files.
     Luckily Microsoft just released a fix which will protect you from it.
     I've attached the fix to this email, so you'll be fine if you install it
     Please open the attached file. It contains very important information concerning you.

   • Please open the attached file. It contains very important information concerning you.

   • I found a file that has a lot of information about YOU in it, I thought you might want to know about it.
     It's attached to this email, so open it if you're interested.

   • Hey, I assume you've heard about that new computer virus?
     A friend of mine got hit by it the other day and lost EVERY file on his compuiter.
     I attached a fix for it to this email, so you should be fine if you install it.
     Good luck!

Прикрепленный файл:
Имя прикрепленного файла образуется следующим образом:

– Начинается одним из следующих:
   • ReadMe_TXT
   • ReadThisNow_TXT
   • UrgentInfo
   • MSWinFix
   • MSHotFix_Latest
   • Latest_Patch
   • Info_Doc
   • ImportantInfo
   • %случайная буквенная комбинация%

    Одно из следующих расширений файла:
   • .exe
   • .zip

Прикрепленный файл является копией вредоносной программы:

Прикрепленный архивный файл содержит копию потенциально опасной программы.

Письмо выглядит следующим образом:

Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • tmp

Создание адресов получателя:
Для генерации адресов применяются следующие строки:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john; accoun; certific; listserv; ntivi;
      support; icrosoft; admin; page; the.bat; gold-certs; ca; feste;
      submit; not; help; service; privacy; somebody; no; soft; contact;
      site; rating; bugs; me; you; your; someone; anyone; nothing; nobody;
      noone; webmaster; postmaster; samples; info; root

Применяется аналогичный ранее упоминавшемуся списку перечень доменных имен.

Одно из следующих доменных имен:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com

Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example; inpris;
      borlan; sopho; panda; hotmail; msn.; icrosof; syma; avp; -._!@; -._!;
      spm; fcnz; www; abuse; .edu

MX Server:
Не использует стандартный MX сервер.
Обладает способностью связаться со следующими MX серверами:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

Хосты Хост файл изменяется следующим образом:

– В этом случае удаляются существующие строки.

– Успешно блокирован доступ к следующим доменам:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.kaspersky.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; pandasoftware.com; www.pandasoftware.com;
      www.trendmicro.com; www.grisoft.com; www.microsoft.com; microsoft.com;
      update.microsoft.com; www.virustotal.com; virustotal.com;
      www.ahnlab.com; suc.ahnlab.com; auth.ahnlab.com; ahnlab.com

Модифицированный хост-файл выглядит следующим образом:

Backdoor Устанавливает соединение с сервером
Следующий:
   • io.phatnet.**********:7001

В результате обеспечиваются функции скрытого удаленного управления.

Передает информацию о:
    • Время жизни вредоносной программы

Возможности удаленного контроля:
    • Загрузить файл
    • Запустить файл
    • Остановить процесс
    • Переместить файл

Разное Мьютекс:
Создается мьютекс:
• doom1

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Monica Ghitun в(о) среда, 3 октября 2007 г.
Описание обновил Monica Ghitun в(о) четверг, 4 октября 2007 г.

Назад . . . .