Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

UWAGA! I-Worm.MyDoom.r

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci P2P KaZaA. Ma postać pliku PE EXE o rozmiarze około 38 KB (kompresja UPX, rozmiar po rozpakowaniu - około 74 KB). Szkodnik wyposażony jest w procedurę backdoor.

Instalacja

Po uruchomieniu robak otwiera Notatnik systemu Windows i wyświetla w nim losowe znaki.

Następnie szkodnik kopiuje się do foldera \Windows\System z nazwą tasker.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Task" = "%System%\tasker.exe"

Dodatkowo szkodnik tworzy w folderze \Windows\System plik nemog.dll zawierający procedurę backdoor. Plik ten także jest rejestrowany w systemie:

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32]
"(Default)"="%System%\Nemog.dll"

Rozprzestrzenianie - poczta elektroniczna

Adresy ofiar pobierane są z książki adresowej systemu Windows oraz z plików posiadających następujące rozszerzenia:

adbh
aspd
dbxn
htmb
phpq
pl
shtl
tbbg
wab

Robak nie wysyła własnych kopii pod adresy zawierające następujące teksty:

.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
you
your

Szkodnik wysyła zainfekowane wiadomości e-mail przy użyciu bezpośredniego połączenia z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomości e-mail

  • Nazwa nadawcy (wybierana z poniższych możliwości):
    adam
    alex
    alice
    andrew
    anna
    bill
    bob
    brenda
    brent
    brian
    claudia
    dan
    dave
    david
    debby
    fred
    george
    helen
    jack
    james
    jane
    jerry
    jim
    jimmy
    joe
    john
    jose
    julie
    kevin
    leo
    linda
    maria
    mary
    matt
    michael
    mike
    peter
    ray
    robert
    sam
    sandra
    serg
    smith
    stan
    steve
    ted
    tom
    

  • Temat (wybierany z poniższych możliwości):
    Error
    hello
    hi
    Mail Delivery System
    Mail Transaction Failed
    Server Report
    Status
    test
    

  • Treść (wybierana z poniższych możliwości):
    !!!!!!!!!!!, check the attachment!!!. 
    (Norton Anti Virus : No Virusses Found , 
    Check The Attachment For More Information. 
    (Norton ANti Virus,Panda,Mcafee No Virusses Found). 
    Check the attachment for more information!. 
    check the attachment to get the lastest news. 
    check. 
    come back my friend. 
    error , sorry we can't send the email so check the attachment. 
    error to send the mail!!!!!. 
    error, check the attachment for more information. 
    failed to send the email!, 
    check the attachment for more information. 
    failed,check the attachment for more information. 
    hello :) 
    hello check the attachment thx. 
    hello. 
    here is what you need,thx. 
    loooooool ;))) 
    Mail transaction failed. Partial message is available. 
    sorry we can't send the mail try later , 
    check the attachment for more information. 
    the attachment for more information. 
    Try Later, Check the Attachment. 
    you can check the attachment for more information. 
    your attachment , thx.

  • Nazwa załącznika (wybierana spośród poniższych możliwości):
    body
    data
    doc
    document
    file
    message
    readme
    test
    text

  • Rozszerzenie załącznika (wybierane spośród poniższych możliwości):
    body
    data
    doc
    document
    file
    message
    readme
    test
    text

Rozprzestrzenianie - sieci P2P

Robak umieszcza w folderze współdzielonym programu KaZaA swoje kopie z następującymi nazwami:

Cleaner.exe
Crack.exe
Fixtool.exe
Hotmail hacker.exe
Mydoom.exe
Netsky.exe
ps2 emulator.exe
SoBig.exe
Upload.exe
Vahos.exe
Viraus.exe
Wenrar.exe
Winzip.exe
xbox emulator.exe
XXX Pictures.exe
XXX Videos.exe
yahoo hacker.exe

Zdalne zarządzanie

Robak otwiera port TCP 5422 i oczekuje na zdalne polecenia. Procedura backdoor, w którą szkodnik jest wyposażony pozwala zdalnemu hakerowi na całkowite przejęcie kontroli nad zainfekowanym komputerem. Procedura ta umożliwia także pobieranie plików z Internetu i instalowanie ich na zarażonej maszynie.

Informacje dodatkowe

W kodzie robaka zapisany jest następujący tekst:

MSG To SkyNet-Netsky: i know skynet is sucks so fuck off and i will
complete my projects ok baby!,the second author for mydoom worms!!, he
will complete the project, more is coming soon better than better,
Kuwait


 2004-11-11  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych