1 marca 2004

I-Worm.Mydoom.e - usuwa pliki

Jest to modyfikacja robaka Mydoom.a. Rozprzestrzenia się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 33 KB (kompresja UPX, rozmiar po rozpakowaniu - około 55 KB). Robak może rozprzestrzeniać się jako archiwum ZIP. Robak znany jest również pod nazwą Mydoom.F. W kodzie szkodnika znajduje się funkcja backdoor przeprowadzająca ataki DoS na serwisy www.microsoft.com oraz www.riaa.com. Szkodnik aktywuje się tylko wtedy, gdy użytkownik rozpakuje i uruchomi zainfekowany załącznik.

Instalacja

Po uruchomieniu robak może wyświetlać jeden z poniższych fałszywych komunikatów o błędzie:

  • File is corrupted
  • File cannot be opened
  • Unable to open specified file

Niekiedy robak tworzy w tymczasowym folderze Windows plik zawierający losowe znaki. W pewnych okolicznościach szkodnik otwiera ten plik przy użyciu Notatnika Windows.

W celu oznaczenia swojej obecności w zainfekowanym systemie robak tworzy mutex jmydoat %nazwa zainfekowanego komputera% Xmtx.

Podczas instalacji robak kopiuje się z losową nazwą do folderu systemowego Windows i tworzy w rejestrze systemowym następujące klucze:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
losowe znaki = "%System%\nazwa pliku robaka

Następnie szkodnik zapisuje swoje kopie o losowych nazwach na wszystkich napędach zawierających następujące słowa:

  • shar
  • startup
  • start
  • in the name

Robak tworzy w folderze systemowym Windows plik posiadający losową nazwę, rozszerzenie DLL o rozmiarze 9724 bajtów. Jest to backdoor otwierający port 1080, działający jako serwer proxy.

Szkodnik tworzy w folderze Windows klika własnych kopii w archiwach ZIP, które wykorzystywane są jako załączniki zainfekowanych wiadomości e-mail.

Dodatkowo, w celu oznaczenia zainfekowanego komputera, robak tworzy klucze rejestru:

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Shell
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Shell

Wysyłanie zainfekowanych wiadomości e-mail

Adresy ofiar pobierane są z plików zapisanych na dyskach od C: do Z:, posiadających następujące rozszerzenia:

  • WAB
  • MBX
  • NCH
  • MMF
  • ODS
  • RTF
  • UIN
  • OFT
  • MHT
  • VBS
  • MSG
  • PL
  • EML
  • ADB
  • TBB
  • DBX
  • ASP
  • PHP
  • SHT
  • HTM
  • TXT

Zainfekowane wiadomości posiadają następujące pola:

  • Adres nadawcy: jeden ze znalezionych na zainfekowanym komputerze lub wybrany z poniższej listy:

    • jerry
    • bill
    • smith
    • jim
    • sam
    • james
    • alex

    Szkodnik może również wykorzystywać adresy generowane losowo. Wówczas po symbolu @ występuje jedna z poniższych domen:

    • aol.com
    • msn.com
    • yahoo.com
    • hotmail.com
    • edu

  • Temat:

    • hello
    • hi
    • Announcement
    • read now!
    • forget
    • bug
    • unknown
    • fake
    • Wanted
    • recent news
    • news
    • stolen
    • Attention
    • Accident
    • Schedule
    • Re: Thank you
    • Thank you
    • Re: Details
    • Details
    • Re: Approved
    • Approved
    • hi, it's me
    • Important
    • Readme
    • Read this message
    • please read
    • please reply
    • Thank You very very much
    • You use illegal File Sharing.
    • Your IP was logged
    • Your account is about to be expired
    • Love is
    • Love is...
    • Undeliverable message
    • Re:
    • Your order was registered
    • Your request was registered
    • Your order is being processed
    • Your request is being processed
    • Current Status
    • Your credit card
    • Read it immediately!
    • Read this
    • Read it immediately
    • Something for you
    • For you
    • For your information
    • Information
    • Warning
    • You have 1 day left
    • automatic notification
    • automatic responder
    • Notification
    • Expired account
    • Your account has expired
    • Registration confirmation
    • Confirmation
    • Confirmation Required
    • Returned Mail

  • Treść:

    • Greetings
    • See you
    • Here it is
    • You are bad
    • Take it
    • Reply
    • Please, reply
    • Okay
    • OK
    • Everything ok?
    • Check the attached document.
    • The document was sent in compressed format.
    • Please see the attached file for details
    • See the attached file for details
    • Details are in the attached document. You need Microsoft Office to open it.
    • Information about you
    • We have received this document from your e-mail.
    • Kill the writer of this document!
    • Something about you
    • I have your password :)
    • You are a bad writer
    • Is that yours?
    • Is that from you?
    • I wait for your reply.
    • Here is the document.
    • Read the details.
    • I'm waiting

  • Nazwa załącznika:

    • body
    • message
    • test
    • data
    • file
    • text
    • readme
    • document
    • doc
    • msg
    • photo
    • resume
    • image
    • object
    • website
    • friend
    • jokes
    • joke
    • approved
    • paypal
    • disc
    • misc
    • part3
    • part2
    • part4
    • part1
    • mail2
    • list
    • mail
    • story
    • about
    • money
    • check
    • product
    • notes
    • your_document
    • note
    • information
    • textfile
    • posting
    • post
    • stuff
    • attachment
    • creditcard
    • details

  • Rozszerzenie 1:

    • EXE
    • SCR
    • COM
    • PIF
    • BAT
    • CMD
    • ZIP

  • Rozszerzenie 2:

    • DOC
    • HTM
    • RTF
    • XLS
    • JPG
    • GIF
    • PNG
    • TXT
    • EXE
    • PIF
    • SCR

    Szkodnik może także wykorzystywać załączniki o losowych nazwach.

Ataki DoS

Między 17 a 22 dniem każdego miesiąca robak z sześćdziesięcioprocentowym prawdopodobieństwem przeprowadza atak DoS na serwis www.microsoft.com oraz z trzydziestoprocentowym - na serwis www.riaa.com. Ataki przeprowadzane są identycznie jak w poprzednich wersjach robaka. Szkodnik wysyła wiele żądań GET na port 80 atakowanego serwisu.

Usuwanie plików

Robak usuwa z napędów od C: do Z: losowo wybrane pliki posiadające następujące rozszerzenia:

  • MDB
  • DOC
  • XLS
  • SAV
  • JPG
  • AVI
  • BMP

Informacje dodatkowe

Robak podejmuje próby zamykania procesów, których nazwy zawierają następujące teksy:

  • reged
  • taskmo
  • taskmg avp.
  • avp32
  • norton
  • navapw
  • navw3
  • intrena
  • mcafe