Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:WORM/Mydoom.O.1
Обнаружен:28/04/2011
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:28.864 байт.
Контрольная сумма MD5:81c59761451fc137ff0c253a5141610d
Версия VDF:7.11.07.62 - четверг, 28 апреля 2011 г.
Версия IVDF:7.11.07.62 - четверг, 28 апреля 2011 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Symantec: W32.Mydoom.M@mm
   •  Mcafee: W32/Mydoom.o@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.m
   •  Sophos: W32/MyDoom-O
   •  Microsoft: Worm:Win32/Mydoom.O@mm


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Последствия:
   • Создает файлы
   • Изменение реестра

 Файлы Создается собственная копия:
   • %WINDIR%\java.exe



Создаются следующие файлы:

%WINDIR%\services.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой.
%TEMPDIR%\allja3.log Файл содержит информацию о системе.
%TEMPDIR%\zincite.log Файл содержит информацию о системе.

 Реестр Для повторного запуска процесса после перезагрузки системы к каждому ключу реестра добавляется по одному значению.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "JavaVM"="%WINDIR%\java.exe"
   •

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Services"="%WINDIR%\services.exe"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


Кому:
– Собранные с помощью поисковых машин адреса

 Backdoor Открывается порт:

– services.exe по TCP порту 1034 для обеспечения backdoor функции.

 Данные файла Язык программирования:
Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Andrei Ilie в(о) четверг, 26 мая 2011 г.
Описание обновил Andrei Ilie в(о) понедельник, 30 мая 2011 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.