16 sierpnia 2004

UWAGA! I-Worm.Mydoom.q

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Rozmiar pliku robaka to 27 136 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 65 024 bajty). Szkodnik powstał przy użyciu języka programowania C++.

Instalacja

Po uruchomieniu robak kopiuje się do foldera \Windows z nazwą rasor38a.dll oraz do \Windows\System z nazwą winpsd.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winpsd"="<%\Windows%>\winpsd.exe"

Dodatkowo, w celu oznaczenia zainfekowanego komputera, szkodnik tworzy unikatowy identyfikator o nazwie 43jfds93872.

Rozprzestrzenianie - poczta elektroniczna

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • TXT
  • HTMB
  • SHTL
  • PHPQ
  • ASPD
  • DBXN
  • TBBG
  • ADBH
  • PL
  • WAB

Szkodnik wysyła zainfekowane wiadomości e-mail przy użyciu własnego silnika SMTP.

Charakterystyka zainfekowanych wiadomości e-mail

  • Temat (wybierany z poniższych możliwości):
    photos
    

  • Treść (wybierana z poniższych możliwości):
    LOL!;))))
    

  • Nazwa załącznika: photos_arc.exe

Funkcja dodatkowa

Robak pobiera z internetu backdoora Backdoor.Win32.Surila.g, zapisuje go w folderze \Windows z nazwą winvpn32.exe i uruchamia go.

Szkodnik tworzy także dodatkowy klucz w rejestrze systemowym:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer]
"InstaledFlashhMX"="1"

Informacje dodatkowe

Szkodnik dezaktywuje procedurę rozprzestrzeniającą 20 sierpnia o godzinie 21:11:11.