26 lipca 2004

UWAGA! I-Worm.Mydoom.m

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 27 KB (kompresja UPX, rozmiar po rozpakowaniu - około 50 KB). Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany załącznik. Szkodnik wyposażony jest w procedurę backdoor, a jego kod jest częściowo zaszyfrowany.

Instalacja

Po uruchomieniu robak kopiuje się do foldera Windows z nazwą java.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
JavaVM = %Folder Windows%\java.exe

Dodatkowo szkodnik tworzy w folderze Windows plik services.exe (o rozmiarze 8 192 bajty). Także dla niego tworzony jest klucz auto-run:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Services = %Folder Windows%\services.exe

Wysyłanie zainfekowanych wiadomości e-mail

Szkodnik szuka w zainfekowanym komputerze adresów potencjalnych ofiar i wysyła wiadomości e-mail przy użyciu serwera SMTP odbiorcy.

Adresy są także pozyskiwane za pomocą następujących wyszukiwarek:

  • Google
  • Lycos
  • Altavista
  • Yahoo

Charakterystyka zainfekowanych wiadomości e-mail

  • Adres nadawcy (wybierany z poniższych możliwości lub sfałszowany):
    MAILER-DAEMON
    Mail Administrator
    Automatic Email Delivery Software
    Post Office
    The Post Office
    Bounced mail
    Returned mail
    Mail Delivery Subsystem
    

  • Temat (wybierany z poniższych możliwości):
    Message could not be delivered
    hello
    Hi
    error
    status
    test
    report
    delivery failed
    Message could not be delivered
    Mail System Error - Returned Mail
    Delivery reports about your e-mail
    Returned mail: see transcript for details  
    Returned mail: Data format error  
    {{The|Your} m|M}essage could not be delivered  
    instruction
    

  • Treść (wybierana z poniższych możliwości):
    Dear user {$t|of $T},{ {{M|m}ail {system|server} 
    administrator|administration} of $T would like to 
    {inform you{ that{:|,}|}|let you know 
    {that|the following}{.|:|,}}|||||}
    
    {We have {detected|found|received reports} that 
    y|Y}our {e{-|}mail |}account {has been|was} used to 
    send a {large|huge} amount of 
    {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} 
    during { this|the {last|recent}} week.
    
    {We suspect that|Probably,|Most likely|Obviously,} 
    your computer {had been|was} 
    {compromised|infected{ by a recent v{iru}s|}} 
    and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
    
    {Please|We recommend {that you|you to}} follow 
    {our |the |}instruction{s|} 
    {in the {attachment|attached {text |}file} |}in 
    order to keep your computer safe.
    
    {{Virtually|Sincerely} yours|Best 
    {wishe|regard}s|Have a nice day}, 
    {$T {user |technical |}support team.|The $T {support |}team.}
    
    {The|This|Your} message was{ undeliverable| not delivered} 
    due to the following reason{(s)|}:
    
    Your message {was not|could not be} delivered because 
    the destination {computer|server} was {not |un}reachable 
    within the allowed queue period. The amount of time a message 
    is queued before it is returned depends on local 
    configuration parameters.
    
    Most likely there is a network problem that prevented 
    delivery, but it is also possible that the computer is 
    turned off, or does not have a mail system running right now.
    
    Your message {was not|could not be} delivered within 
    $D days: {{{Mail s|S}erver}|Host} $i is not responding.
    
    The following recipients {did|could} not receive this message: <$t>
    
    Please reply to postmaster@{$F|$T} if you feel 
    this message to be in error. The original message was 
    received at $w{ | }from {$F [$i]|{$i|[$i]}}
    
    ----- The following addresses had permanent fatal errors ----- {<$t>|$t}
    
    {----- Transcript of {the ||}session follows ----- ... 
    while talking to {host |{mail |}server ||||}{$T.|$i}: 
    {>>> MAIL F{rom|ROM}:$f <<< 50$d {$f... |}
    {Refused|{Access d|D}enied|{User|Domain|Address} 
    {unknown|blacklisted}}|554 <$t>..
    
    . {Mail quota exceeded|Message is too large} 554 <$t>... 
    Service unavailable|550 5.1.2 <$t>... Host unknown 
    (Name server: host not found)|554 {5. 0.0 |}Service 
    unavailable; [$i] blocked using 
    {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|} 
    Session aborted{, reason: lost connection|}|>>> 
    RCPT To:<$t> <<< 550 {MAILBOX NOT FOUND|5.1.1 <$t>... 
    {User unknown|Invalid recipient|Not known here}}|>>> DATA 
    {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as 
    output|}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed|}
    {<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, 
    disk quota exceeded|}<<< 400}|} The original message was 
    included as attachment {{The|Your} m|M}essage could not be delivered
    

  • Nazwa załącznika: generowana losowo

  • Rozszerzenie załącznika (wybierane z poniższych możliwości):
    CMD
    BAT
    COM
    PIF
    SCR
    DOC
    EXE
    

Robak może także załączać do wiadomości zainfekowane archiwa ZIP.

Informacje dodatkowe

Robak otwiera port TCP 1034 i oczekuje na zdalne polecenia.