I-Worm.Mydoom.m
I-Worm.Mydoom.m
Опасность : средняя
"Лаборатория Касперского" предупреждает о появлении в интернете новой разновидности почтового червя Mydoom, получившей версию "m". Червь распространяется по электронной почте в качестве вложений в зараженные электронные письма. Файл червя имеет размер 27 КБ.
I-Worm.Mydoom.m
Интернет-червь, распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 27 КБ, упакован UPX. Размер распакованного файла - около 50 КБ.
Червь активизируется, только если пользователь запустит зараженный файл (при двойном щелчке на вложении). В некоторых случаях потребуется предварительно открыть ZIP-архив, в котором содержится файл червя. Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Червь содержит в себе backdoor-функцию.
Часть тела вируса зашифрована.
Инсталляция
При инсталляции червь копирует себя с именем "java.exe" в корневой каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"JavaVM"="%windir%\java.exe"
Червь создает в корневом каталоге Windows файл "services.exe" (8192 байт), являющийся вспомогательным компонентом, и также регистрирует его в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Services"="%windir%\services.exe"
Рассылка писем
Червь ищет на компьютере в файлах адреса электронной почты и рассылает себя на найденные. Для рассылки используется прямое подключение к SMTP-серверу, установленному по умолчанию в системе. Если к данному серверу подключиться невозможно, червь пытается отослать письма через несколько серверов, определенных в коде червя.
Содержимое зараженных писем
Тема письма:
Выбирается произвольно из списка:
{{The|Your} m|M}essage could not be delivered
Automatic Email Delivery Software
Bounced mail
delivery failed
Delivery reports about your e-mail
error
hello
Hi
http://search.lycos.com/default.asp?lpv=1&loc=searchhp&tab=web&query=%s
http://search.yahoo.com/search?p=%s&ei=UTF-8&fr=fp-tab-web-t&cop=mss&tab=
http://www.altavista.com/web/results?q=%s&kgs=0&kls=0
http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=%s
instruction
Mail Administrator
Mail Delivery Subsystem
Mail System Error - Returned Mail
MAILER-DAEMON
Message could not be delivered
Post Office
report
Returned mail
Returned mail: Data format error
Returned mail: see transcript for details
status
test
The Post Office
Текст письма:
Выбирается произвольно из списка, приведен с переменными, которые принимают значения, соответствующие данным получателя письма:
Dear user {$t|of $T},{ {{M|m}ail {system|server} administrator|administration} of $T would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
{We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during { this|the {last|recent}} week.
{We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
{Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
{{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day}, {$T {user |technical |}support team.|The $T {support |}team.}
{The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
Your message {was not|could not be} delivered because the destination {computer|server} was {not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters.
Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
Your message {was not|could not be} delivered within $D days: {{{Mail s|S}erver}|Host} $i is not responding.
The following recipients {did|could} not receive this message: <$t>
Please reply to postmaster@{$F|$T} if you feel this message to be in error. The original message was received at $w{ | }from {$F [$i]|{$i|[$i]}}
----- The following addresses had permanent fatal errors ----- {<$t>|$t}
{----- Transcript of {the ||}session follows ----- ... while talking to {host |{mail |}server ||||}{$T.|$i}: {>>> MAIL F{rom|ROM}:$f <<< 50$d {$f... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <$t>..
. {Mail quota exceeded|Message is too large} 554 <$t>... Service unavailable|550 5.1.2 <$t>... Host unknown (Name server: host not found)|554 {5. 0.0 |}Service unavailable; [$i] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|} Session aborted{, reason: lost connection|}|>>> RCPT To:<$t> <<< 550 {MAILBOX NOT FOUND|5.1.1 <$t>... {User unknown|Invalid recipient|Not known here}}|>>> DATA {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output|}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed|}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded|}<<< 400}|} The original message was included as attachment {{The|Your} m|M}essage could not be delivered
Имя вложения:
Имя файла произвольное.
Расширение файла выбирается из списка:
bat
cmd
com
exe
doc
pif
scr
Также червь может находиться внутри ZIP-архива.
Прочее
Червь открывает на зараженной системе порт TCP 1034 для приема удаленных команд.
www.viruslist.com
Безопасность
Прямая ссылка
Добавил:
slayer
27.07.2004 00:14