10 lutego 2004

Worm.Win32.Doomjuice.a - korzysta z popularności robaków Mydoom

Jest to robak rozprzestrzeniający się przez internet, przy użyciu komputerów zainfekowanych szkodnikami I-Worm.Mydoom.a oraz I-Worm.Mydoom.b. Ma rozmiar około 35 KB (kompresja UPX, rozmiar po rozpakowaniu - około 43 KB).

Instalacja

Podczas uruchamiania robak kopiuje się do folderu systemowego Windows z nazwą intrenat.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run]
"Gremlin" = "%system%\intrenat.exe"

Robak rozpakowuje z własnego kodu plik sync-src-1.00.tbz i kopiuje go do folderów: Windows, Windows/System oraz Documents and Settings. Jest to archiwum TAR zawierające pełny kod robaka I-Worm.Mydoom.a.

W celu oznaczenia zainfekowanego komputera robak tworzy w pamięci unikatowy identyfikator sync-Z-mtx_133.

Rozprzestrzenianie

W celu rozprzestrzeniania wykorzystywane są komputery zainfekowane robakami Mydoom.a oraz Mydoom.b. Robak podejmuje próbę połączenia się z portem TCP 3127, który Mydoom otwiera na zainfekowanych maszynach. Jeżeli zarażony komputer odpowie na wysłane żądanie, Doomjuice nawiązuje połączenie i wysyła własna kopię, która jest uruchamiana przez backdoora instalowanego przez Mydooma.

Adresy IP, które robak wybiera do nawiązania połączenia maja postać A.B.C.D, gdzie:

  • wartość A wybierana jest z poniższej listy:
    3	4	6	8	
    9	11	12	13
    14	15	16	17
    18	19	20	21
    22	24	25	26
    28	29	30	32
    33	34	35	38	
    40	43	44	45
    46	47	48	49
    50	51	52	53
    54	55	56	57
    61	62	63	64
    65	66	67	68
    80	81	128	129	
    130	131	132	133
    134	135	136	137
    138	139	140	141
    142	143	144	145
    146	147	148	149
    150	151	152	153
    154	155	156	157
    158	159	160	161
    162	163	164	165
    166	167	168	169
    170	171	172	173
    174	175	176	177
    178	179	180	181
    182	183	184	185
    186	187	188	189
    190	191	193	194
    195	196	198	199
    200	201	202	203
    204	205	206	207
    208	209	210	211
    212	213	214	215
    216	217	218	219
    220	225	226	227
    228	229	230	231
    232	233	234	235
    236	237	238	239 
    
  • wartości B oraz C generowane są losowo,
  • wartość D wybierana jest po kolei z przedziału od 0 do 256.

Atak DoS

Robak sprawdza datę systemową i jeżeli zawiera się ona w między pierwszym, a jedenastym dniem miesiąca, robak przeprowadza zmodyfikowany atak DoS na witrynę www.microsoft.com. Szkodnik wysyła na port 80 jedną komendy GET w losowych interwałach. Po 12 dniu miesiąca komendy GET wysyłane są bez przerwy.