Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

UWAGA! I-Worm.Mydoom.aa

Jest to modyfikacja robaka I-Worm.Mydoom.a. Rozprzestrzenia się przez Internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci wymiany plików KaZaA. Szkodnik ma postać pliku PE EXE o rozmiarze 51 712 bajtów (kompresja UPX). Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany załącznik. Szkodnik wyposażony jest w procedurę backdoor.

Instalacja

Po uruchomieniu robak kopiuje się do foldera \Windows\System z nazwą avpr.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Avpr"="%System%\avpr.exe"

Dodatkowo szkodnik tworzy w folderze \Windows\System plik tcp5424.dll, który zawiera procedurę backdoor. Także dla tego pliku tworzony jest klucz rejestru systemowego:

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"Default"="%SysDir%\tcp5424.dll"

W rezultacie biblioteka robaka uruchamiana jest jako potomek procesu Explorer.exe.

W celu oznaczenia zainfekowanego komputera szkodnik tworzy dodatkowy klucz rejestru:

[HKLM\Software\Microsoft\Windows\Ddinfect]

oraz unikatowy identyfikator w pamięci - My-Game.

Szkodnik zmienia zawartość standardowego pliku hosts znajdującego się w folderze \Windows. W rezultacie użytkownik zainfekowanego komputera nie będzie mógł stron WWW znajdujących się w następujących domenach:

avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com

Robak tworzy w folderze \Windows\System plik msg15.txt zawierający poniższy tekst:

Lucky's Av's ;P~. Sasser author gets IT security job 
and we will work with Mydoom , P2P worms and exploit codes.
Also we will attack f-secure,symantec,trendmicro,mcafee , etc. 
The 11th of march is the skynet day lol . 
When the beagle and mydoom loose, we wanna stop our 
activity <== so Where is the Skynet now? lol.
This Will Drop W32.Scran P2P Worm

Dodatkowo szkodnik podejmuje próby pobierania z Internetu pliku scran.jpg i zapisywania go w folderze głównym dysku C: z nazwą Scran.exe. Plik ten zawiera innego robaka - Worm.P2P.Scranor.a.

Zainfekowane wiadomości e-mail

Mechanizm wysyłający zainfekowane wiadomości jest identyczny, jak ten wykorzystywany przez szkodnika I-Worm.Mydoom.a. Treść wiadomości składa się z trzech części wybieranych losowo z trzech poniższych grup:

Daily Report.
here is the document.
Important Information.
Reply
your document.

Details are in the attached document.
Kill the writer of this document!
Monthly news report.
Please answer quickly!.
Please confirm!.
Please read the attached file!.
Please see the attached file for details.
Please see the attached file for details Check the attached document.
See the attached file for details
Waiting for a Response. Please read the attachment.

+++ AntiVirus - www.f-secure.com Norton AntiVirus - www.symantec.com
+++ AntiVirus - www.kaspersky.com Panda AntiVirus - 
+++ Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com Bitdefender AntiVirus -
+++ www.bitdefender.com MC-Afee AntiVirus - www.mcafee.com Kaspersky
+++ www.pandasoftware.com Norman AntiVirus - www.norman.com F-Secure

Procedura backdoor

Backdoor zapisany w pliku tcp5424.dll otwiera port TCP 5424 i oczekuje na zdalne polecenia.

Funkcja dodatkowa

Robak usuwa wszelkie wpisy rejestru systemowego zawierające ciągi ICQ Net oraz MsnMsgr.



 2004-10-16  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych