Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Worm.Win32.Doomjuice.b - Mydoom ciągle modny

Jest to robak rozprzestrzeniający się przez internet, podobnie jak jego pierwowzór, przy użyciu komputerów zainfekowanych szkodnikiem Mydoom. Jego rozmiar to około 5 KB (kompresja UPX, rozmiar po rozpakowaniu - około 6 KB). Robak przeprowadza atak DoS na stronę internetową firmy Microsoft.

Instalacja

Podczas uruchamiania robak kopiuje się do folderu systemowego Windows z nazwą regedit.exe i tworzy w rejestrze systemowym klucz auto-run:

HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run
NeroCheck = %system%\regedit.exe

W celu oznaczenia zainfekowanego komputera robak tworzy w pamięci unikatowy identyfikator _sncZZmtx_133.

Rozprzestrzenianie

W celu rozprzestrzeniania wykorzystywane są komputery zainfekowane robakami Mydoom.a oraz Mydoom.b. Robak podejmuje próbę połączenia się z portem TCP 3127, który Mydoom otwiera na zainfekowanych maszynach. Jeżeli zarażony komputer odpowie na wysłane żądanie, Doomjuice nawiązuje połączenie i wysyła własna kopię, która jest uruchamiana przez backdoora instalowanego przez Mydooma.

Adresy IP, które robak wybiera do nawiązania połączenia maja postać A.B.C.D, gdzie:

  • wartość A wybierana jest z poniższej listy:
    3	4	6	8	
    9	11	12	13
    14	15	16	17
    18	19	20	21
    22	24	25	26
    28	29	30	32
    33	34	35	38	
    40	43	44	45
    46	47	48	49
    50	51	52	53
    54	55	56	57
    61	62	63	64
    65	66	67	68
    80	81	128	129	
    130	131	132	133
    134	135	136	137
    138	139	140	141
    142	143	144	145
    146	147	148	149
    150	151	152	153
    154	155	156	157
    158	159	160	161
    162	163	164	165
    166	167	168	169
    170	171	172	173
    174	175	176	177
    178	179	180	181
    182	183	184	185
    186	187	188	189
    190	191	193	194
    195	196	198	199
    200	201	202	203
    204	205	206	207
    208	209	210	211
    212	213	214	215
    216	217	218	219
    220	225	226	227
    228	229	230	231
    232	233	234	235
    236	237	238	239 
    
  • wartości B oraz C generowane są losowo,
  • wartość D wybierana jest po kolei z przedziału od 0 do 256.

Atak DoS

Robak sprawdza datę systemową i jeżeli zawiera się ona w między ósmym, a dwunastym dniem miesiąca (a także przez cały styczeń) robak nie przeprowadza żadnego ataku DoS. Jednak we wszystkich pozostałych miesiącach szkodnik atakuje witrynę www.microsoft.com wysyłając komendy GET z następującymi parametrami:

GET / HTTP/1.1
Accept: */*
 
Accept-Language: en-us or Accept-Language: en 

Accept-Encoding: gzip, deflate or blank

User-Agent: Mozilla/4.0 
(compatible; MSIE 5.0; Windows NT 5.0) or
User-Agent: Mozilla/4.0 
(compatible; MSIE 6.0; Windows NT 5.1) or
User-Agent: Mozilla/4.0
 
Host: www.microsoft.com:80


 2004-02-11  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych