Полное описание

Имя:	Worm/Mydoom.AS.1
Обнаружен:	27/04/2005
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	От среднего до высокого
Потенциал повреждений:	Низкий
Файл статистики:	Да
Размер файла:	86.637 байт.
Контрольная сумма MD5:	06ad8f6017e0d638481d877af8881e4f
Версия VDF:	6.30.00.141 - среда, 27 апреля 2005 г.
Версия IVDF:	6.30.00.141 - среда, 27 апреля 2005 г.

Общее Методы распространения:
   • Email
   • Одноранговая сеть

Псевдонимы (аliases):
   • Mcafee: W32/Mydoom.bn@MM
   • Kaspersky: Email-Worm.Win32.Mydoom.as
   • TrendMicro: WORM_MYDOOM.AQ
   • F-Secure: Email-Worm.Win32.Mydoom.as
   • Sophos: W32/MyDoom-BN
   • Panda: W32/Mydoom.BJ.worm
   • Grisoft: I-Worm/Mydoom
   • VirusBuster: I-Worm.Mydoom.BJ
   • Eset: Win32/Mydoom.BC
   • Bitdefender: Win32.Worm.Mydoom.BJ

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Использует собственный почтовый движок
   • Изменение реестра

После активации запускается Windows приложение. При этом отображается следующее окно:

Файлы Создается собственная копия:
• %SYSDIR%\taskmon.exe

Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• TaskMon="%SYSDIR%\taskmon.exe"

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• TaskMon="%SYSDIR%\taskmon.exe"

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:

От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
– Сгенерированные адреса

Тема:
Одно из следующих:
   • Oi a quanto tempo... =)
   • Eu nao ti vejo a muito tempo.
   • Duvido voce me reconher =)
   • Voce me reconhece??
   • Saudades de voce!!!
   • lembra de mim??
   • estou longe!!
   • Eu te amo

Тело:
Тело письма имеет следующий вид:
   • Ola, a quanto tempo! Eu me mudei dai para os Estados Unidos, e faz um tempo que perdemos o contato e consegui seu email atraves de uma amiga sua. Vamos fazer assim, eu vou lhe mandar meu album de fotos se voce me reconhecer, me retorna o email. Quero ver se voce ainda lembra de mim. :)

Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • album
   • fotografia
   • fotos
   • album_de_foto
   • minhas_fotos

    Одно из следующих расширений файла:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

Прикрепленный файл является копией вредоносной программы:

Письмо выглядит следующим образом:

Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • wab
   • adb
   • tbb
   • dbx
   • php
   • sht
   • htm
   • tmp

Создание адресов отправителя и получателя:
Для генерации адресов применяются следующие строки:
   • joao; alex; michel; michele; james; marcos; felipe; davi; george;
      samuel; andre; andreia; jose; leonardo; maria; georgia; bernardo;
      sergio; joana; luis; raimundo; tom; patricia; roberto; roberta;
      tercio; fernando; daniela; diego; steve; fernanda; luisa; adriana;
      bruno; david; samanta; fred; rafael; luiza; afonso; breno; alice; ana;
      brenda; claudia; marcela; debora; helen; helena; simone; lucas;
      juliana; adriano; sandra; sandro; barbara; bruna; rafaela

Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • -._!@; -._!; avp; syma; icrosof; msn.; panda; sopho; borlan; inpris;
      example; mydomai; nodomai; ruslis; berkeley; unix; math; bsd; mit.e;
      gnu; fsf.; ibm.com; google; kernel; linux; fido; usenet; iana; ietf;
      rfc-ed; sendmail; arin.; ripe.; isi.e; isc.o; secur; acketst; pgp;
      tanford.e; utgers.ed; mozilla; be_loyal:; root; info; samples;
      postmaster; webmaster; noone; nobody; nothing; anyone; someone; your;
      you; me; bugs; rating; site; contact; soft; no; somebody; privacy;
      service; help; not; submit; feste; ca; gold-certs; the.bat; page;
      abuse; admin; lista; icrosoft; support; ntivi; listserv; certific;
      accoun; spm; fcnz; www

Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия:   Для определения стандартной папки для загрузки происходит обращение к реестру:
   • Software\Kazaa\Transfer

   При успешном завершении поиска создаются следующие файлы:
   • activation_crack.exe; icq2004-final.exe; nuke2004.exe;
      office_crack.exe; rootkitXP.exe; strip-girl-2.0bdcom_patches.exe;
      winamp5.exe; activation_crack.bat; icq2004-final.bat; nuke2004.bat;
      office_crack.bat; rootkitXP.bat; strip-girl-2.0bdcom_patches.bat;
      winamp5.bat; activation_crack.pif; icq2004-final.pif; nuke2004.pif;
      office_crack.pif; rootkitXP.pif; strip-girl-2.0bdcom_patches.pif;
      winamp5.pif; activation_crack.scr; icq2004-final.scr; nuke2004.scr;
      office_crack.scr; rootkitXP.scr; strip-girl-2.0bdcom_patches.scr;
      winamp5.scr; ;

   Файлы являются копиями потенциально опасной программы

Разное Мьютекс:
Создается мьютекс:
• SwebSipcSmtxS0

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Ana Maria Niculescu в(о) четверг, 4 октября 2007 г.
Описание обновил Ana Maria Niculescu в(о) вторник, 9 октября 2007 г.

Назад . . . .