Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

UWAGA - EPIDEMIA! I-Worm.Mydoom.a (Novarg)

Jest to robak rozprzestrzeniający się przez internet jako zainfekowane archiwum załączone do wiadomości e-mail oraz za pośrednictwem systemu wymiany plików KaZaA. Ma postać częściowo zaszyfrowanego pliku PE EXE o rozmiarze 22 528 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 40 KB). Szkodnik wyposażony jest w procedurę backdoor i 1 lutego 2004 może przeprowadzać atak DoS na serwisie www.sco.com. Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany załącznik.

Instalacja

Po uruchomieniu robak otwiera standardowy notatnik systemu Windows (plik notepad.exe) i wyświetla losowe symbole:

Podczas instalacji robak kopiuje się do folderu systemowego Windows z nazwą taskmon.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMon" = "%System%\taskmon.exe"

Dodatkowo szkodnik zapisuje w folderze systemowym Windows backdoora (serwer proxy) pod nazwą shimgapi.dll i tworzy dla niego odpowiedni klucz rejestru:

[HKCR\CLSID\
{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
InProcServer32]
"(Default)" = "%System%\shimgapi.dll"

w wyniku czego plik shimgapi.dll jest uruchamiany jako procedura programu explorer.exe.

Szkodnik tworzy także w folderze tymczasowym (najczęściej Windows\Temp) plik message zawierający losowe symbole.

W celu oznaczenia zainfekowanego systemu robak tworzy w rejestrze kilka dodatkowych kluczy:

[HKLM\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version]

Rozprzestrzenianie - poczta elektroniczna

Robak wykorzystuje własny silnik SMTP i podejmuje próbę bezpośredniego połączenia się z domyślnym serwerem poczty. Adresy potencjalnych ofiar pobierane są z plików posiadających następujące rozszerzenia: ASP, DBX, TBB, HTM, SHT, PHP, ADB, PL, WAB oraz TXT. W poszukiwaniu adresów szkodnik ignoruje pliki posiadające przyrostek EDU.

Zainfekowane wiadomości e-mail posiadają następujące pola:

  • Losowy adres nadawcy

  • Temat (wybierany spośród następujących możliwości):

    • test
    • hi
    • hello
    • Mail Delivery System
    • Mail Transaction Failed
    • Server Report
    • Status
    • Error

  • Treść (wybierana spośród następujących możliwości):

    • test
    • The message cannot be represented in 
      7-bit ASCII encoding and has been sent as 
      a binary attachment. 
    • The message contains Unicode characters 
      and has been sent as a binary attachment.
    • Mail transaction failed. 
      Partial message is available.

  • Nazwa załącznika (może składać się z jednego lub dwóch słów wybieranych z poniższej listy):

    • document
    • readme
    • doc
    • text
    • file
    • data
    • test
    • message
    • body

    Załącznik może posiadać jedno z poniższych rozszerzeń:

    • pif
    • scr
    • exe
    • cmd
    • bat

Robak może także wysyłać wiadomości posiadające losowo wygenerowane pola.

Rozprzestrzenianie - sieci P2P

Robak szuka w systemie aplikacji klienckiej systemu wymiany plików KaZaA i kopiuje się do współdzielonego folderu z następującymi nazwami:

  • winamp5
  • icq2004-final
  • activation_crack
  • strip-girl-2.0bdcom_patches
  • rootkitXP
  • office_crack
  • nuke2004

Kopie robaka mogą posiadać następujące rozszerzenia:

  • bat
  • exe
  • scr
  • pif

Informacje dodatkowe

Instalowany przez robaka backdoor (shimgapi.dll) działa jako serwer proxy - otwiera porty TCP od 3127 do 3198 i oczekuje na polecenia hakera, który ma możliwość przejęcia pełnej kontroli nad zainfekowanym systemem. Dodatkowo backdoor może pobierać z internetu losowe pliki i uruchamiać je.

Od 1 do 12 lutego 2004 szkodnik może przeprowadzać ataki DoS na serwisie www.sco.com.

Data dodania szkodnika do antywirusowych baz danych: 27 stycznia 2004, godzina 5:27.



 2004-01-27  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych