29 stycznia 2004

I-Worm.Mydoom.b - epidemia trwa

Jest to modyfikacja robaka Mydoom.a rozprzestrzeniająca się przez internet jako zainfekowane archiwum załączone do wiadomości e-mail oraz za pośrednictwem systemu wymiany plików KaZaA. Szkodnik postać częściowo zaszyfrowanego pliku PE EXE o rozmiarze 29 184 bajtów (kompresja UPX oraz PE-Patch, rozmiar po rozpakowaniu - około 49 KB. Szkodnik wyposażony jest w procedurę backdoor i przeprowadza ataki DoS na serwisy www.sco.com oraz www.microsoft.com. Robak aktywuje się tylko wtedy, gdy użytkownik rozpakuje załączone do wiadomości zainfekowane archiwum i uruchomi jego zawartość.

Rozpakowany załącznik zawiera następujący tekst:

(sync-1.01; andy; I'm just doing my job, 
nothing personal, sorry)

Instalacja

Po uruchomieniu robak otwiera standardowy notatnik systemu Windows (plik notepad.exe) i wyświetla losowe symbole:

Podczas instalacji robak kopiuje się do folderu systemowego Windows z nazwą explorer.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMon" = "%System%\explorer.exe"

Dodatkowo szkodnik zapisuje w folderze systemowym Windows backdoora (serwer proxy) pod nazwą ctfmon.dll i tworzy dla niego odpowiedni klucz rejestru:

[HKCR\CLSID\
{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
InProcServer32]
"Apartment" = "%SysDir%\ctfmon.dll"

w wyniku czego plik ctfmon.dll jest uruchamiany jako procedura programu explorer.exe.

Szkodnik tworzy także w folderze tymczasowym (najczęściej Windows\Temp) plik message zawierający losowe symbole.

W celu oznaczenia zainfekowanego systemu robak tworzy w rejestrze kilka dodatkowych kluczy:

[HKLM\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version]

Mydoom.b nadpisuje zawartość pliku hosts znajdującego się w folderze Windows. W rezultacie użytkownik zainfekowanego komputera nie ma dostępu do następujących domen:

  • ad.doubleclick.net
  • ad.fastclick.net
  • ads.fastclick.net
  • ar.atwola.com
  • atdmt.com
  • avp.ch
  • avp.com
  • avp.ru
  • awaps.net
  • banner.fastclick.net
  • banners.fastclick.net
  • ca.com
  • click.atdmt.com
  • clicks.atdmt.com
  • dispatch.mcafee.com
  • download.mcafee.com
  • download.microsoft.com
  • downloads.microsoft.com
  • engine.awaps.net
  • fastclick.net
  • f-secure.com
  • ftp.f-secure.com
  • ftp.sophos.com
  • go.microsoft.com
  • liveupdate.symantec.com
  • mast.mcafee.com
  • mcafee.com
  • media.fastclick.net
  • msdn.microsoft.com
  • my-etrust.com
  • nai.com
  • networkassociates.com
  • office.microsoft.com
  • phx.corporate-ir.net
  • secure.nai.com
  • securityresponse.symantec.com
  • service1.symantec.com
  • sophos.com
  • spd.atdmt.com
  • support.microsoft.com
  • symantec.com
  • update.symantec.com
  • updates.symantec.com
  • us.mcafee.com
  • vil.nai.com
  • viruslist.ru
  • windowsupdate.microsoft.com
  • www.avp.ch
  • www.avp.com
  • www.avp.ru
  • www.awaps.net
  • www.ca.com
  • www.fastclick.net
  • www.f-secure.com
  • www.kaspersky.ru
  • www.mcafee.com
  • www.my-etrust.com
  • www.nai.com
  • www.networkassociates.com
  • www.sophos.com
  • www.symantec.com
  • www.trendmicro.com
  • www.viruslist.ru
  • www3.ca.com

Rozprzestrzenianie - poczta elektroniczna

Zainfekowane wiadomości wysyłane są prawie identycznie, jak w pierwszej wersji robaka.

Treść wybierana jest spośród następujących możliwości:

  • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
  • sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received
  • The message contains Unicode characters and has been sent asa binary attachment.
  • The message contains MIME-encoded graphics and has been sent as a binary attachment
  • Mail transaction failed. Partial message is available.

Robak może także wysyłać wiadomości posiadające losowo wygenerowane pola.

Rozprzestrzenianie - sieci P2P

Robak szuka w systemie aplikacji klienckiej systemu wymiany plików KaZaA i kopiuje się do współdzielonego folderu z następującymi nazwami:

  • NessusScan_pro
  • attackXP-1.26
  • winamp5
  • MS04-01_hotfix
  • zapSetup_40_148
  • BlackIce_Firewall_Enterpriseactivation_crack
  • xsharez_scanner
  • icq2004-final

Kopie robaka mogą posiadać następujące rozszerzenia:

  • bat
  • exe
  • scr
  • pif

Data dodania szkodnika do antywirusowych baz danych: 28 stycznia 2004, godzina 16:20.