Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

UWAGA! I-Worm.Mydoom.t

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 18 KB (kompresja UPX, rozmiar po rozpakowaniu - około 34 KB).

Instalacja

Po uruchomieniu robak kopiuje się do foldera \Windows\System z nazwą windrv32.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\Software\Windows\CurrentVersion\Run\]
"WinSPF"="%\Windows\System%\windrv32.exe"

Dodatkowo szkodnik tworzy unikatowy identyfikator WWWWDefaceDWWW.

Charakterystyka zainfekowanych wiadomości e-mail

  • Nazwa nadawcy (sfałszowana na podstawie lokalnej książki adresowej lub wybierana z poniższych możliwości):
    Alex
    Alexander
    Andrew
    Anthony
    Barry
    Bernard
    Bill
    Brian
    Calvin
    Carl
    Charles
    Christopher
    Clifford
    Daniel
    David
    Dennis
    Donald
    Douglas
    Edward
    Eric
    Francisco
    Frank
    Gary
    George
    Gregory
    Harold
    Henry
    James
    Jason
    Jay
    Jeffrey
    Jerry
    Jim
    John
    Jon
    Jose
    Joseph
    Joshua
    Kenneth
    Kevin
    Larry
    Leon
    Leroy
    Lloyd
    Marcus
    Mario
    Mark
    Matthew
    Michael
    Micheal
    Miguel
    Oscar
    Patrick
    Paul
    Peter
    Randall
    Raymond
    Richard
    Ricky
    Robert
    Ronald
    Ronnie
    Scott
    Stephen
    Steven
    Theodore
    Thomas
    Timothy
    Tom
    Tommy
    Troy
    Walter
    William
    Adams
    Allen
    Anderson
    Baker
    Brown
    Campbell
    Carter
    Clark
    Cruz
    Davis
    Freeman
    Garcia
    Gomez
    Gonzalez
    Green
    Hall
    Harris
    Hernandez
    Hill
    Jackson
    Johnson
    Jones
    King
    Lee
    Lewis
    Lopez
    Marshall
    Martin
    Martinez
    Miller
    Mitchell
    Moore
    Murray
    Nelson
    Ortiz
    Parker
    Perez
    Phillips
    Porter
    Roberts
    Robinson
    Rodriguez
    Scott
    Simpson
    Smith
    Stevens
    Taylor
    Thomas
    Thompson
    Tucker
    Turner
    Walker
    Webb
    Wells
    White
    Williams
    Wilson
    Wright
    Young
    

  • Domena nadawcy (wybierana z poniższych możliwości):
    aol.com
    dailymail.co.uk
    gmx.net
    hotmail.com
    mail.com
    t-online.de
    yahoo.co.uk
    

  • Temat (wybierany z poniższych możliwości):
    hello
    here
    Hi!
    important
    Information
    my
    News
    Notice again
    Private document
    Re: Hello
    Re: Hi
    Re: Message
    Re: Proof of concept
    Re: Question
    Re: Status
    Re: Your document
    read it immediately
    Thank you!
    thanks!
    You win!
    

  • Treść (wybierana z poniższych możliwości):
    apply patch.
    apply this patch!
    Can you confirm it?
    For further details see the attachment.
    For more details see the attachment.
    fun game!
    fun photos
    fun!
    game
    I have attached document.
    lol!
    Monthly news report.
    New game
    Please answer quickly!
    Please confirm the document.
    Please confirm!
    Please read the attached file!
    Please read the attached file.
    Please read the document.
    Please read the important document.
    Please see the attached file for details
    relax
    screensaverlol!
    See attached file for details.
    See the file.
    See the file.
    Thanks!
    Thanks!
    Virus removal tool
    Waiting for a Response. Please read the attachment.
    You are infected by virus. Run this exe
    Your archive is attached.
    Your requested mail has been attached.
    

  • Nazwa załącznika (wybierana z poniższych możliwości):
    antivirus.exe
    bill.zip
    data.zip
    details.zip
    doc.zip
    doc.zip
    document.zip
    file.exe
    file.zip
    fun.scr
    game.exe
    info.zip
    information.zip
    letter.zip
    lol.scr
    message,.zip
    new.exe
    new.zip
    patch.exe
    photo.exe
    pic.exe
    report.zip
    bill.doc                        .pif
    bill.rtf                        .pif
    bill.txt                        .pif
    doc.doc                         .pif
    doc.rtf                         .pif
    doc.txt                         .pif
    document.doc                    .pif
    mesg.doc                        .pif
    mesg.rtf                        .pif
    mesg.txt                        .pif
    Message.html                    .pif
    rep.txt                         .pif
    report.doc                      .pif
    report.rtf                      .pif
    report.txt                      .pif
    review.doc                      .pif
    review.rtf                      .pif
    review.txt                      .pif
    

  • Podpis (konstruowany w oparciu o następujący szablon):
    +++ Attachment: No Virus found
    +++ %s

    gdzie wartość zmiennej "%s" wybierana jest z poniższych możliwości:

    Bitdefender AntiVirus - www.bitdefender.com
    F-Secure AntiVirus - www.f-secure.com
    Kaspersky AntiVirus - www.kaspersky.com
    MC-Afee AntiVirus - www.mcafee.com
    MessageLabs AntiVirus - www.messagelabs.com
    Norman AntiVirus - www.norman.com
    Norton AntiVirus - www.symantec.de
    Panda AntiVirus - www.pandasoftware.com

Rozprzestrzenianie - poczta elektroniczna

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • ASP
  • CFG
  • CGI
  • DBX
  • DHT
  • EML
  • HTM
  • JSP
  • MHT
  • MSG
  • PHP
  • SHT
  • STM
  • TBB
  • TXT
  • UIN
  • VBS
  • WAB
  • XLS

Szkodnik wysyła zainfekowane wiadomości łącząc się bezpośrednio z serwerami SMTP obsługującymi atakowane adresy.

Informacje dodatkowe

Szkodnik wyposażony jest w funkcje, która pobiera z Internetu backdoora Backdoor.Win32.Surila.

W kodzie robaka zapisany jest następujący tekst:

We searching 4 work in AV industry.


 2004-09-09  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych