I-Worm.Mydoom.y
Сетевой червь, распространяющийся через интернет в виде вложений в
зараженные электронные письма, файлообменные сети и уязвимость в
службе LSASS Microsoft Windows. Также, червь имеет возможность
распространения посредством рассылки своих URL адресов через ICQ.
Написан на языке Microsoft Visual C++. Упакован при помощи UPX. Размер
в упакованном виде 69632 байта, в распакованном - 193024 байта.
Инсталляция
При запуске на разных типах операционных систем Windows червь ведет
себя по-разному.
° При запуске на операционных системах семейства Windows 9x:
°1. Регистрирует себя в ключе автозагрузки системного реестра:
°1. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
°1. "RPCserv"="<путь к файлу>"
°2. Cоздает уникальный идентификатор "ertglddfgd" для определения
своего присутствия в системе.
° При запуске на операционных системах семейства Windows NT:
°1. Копирует свой файл в каталог Windows под именем "services.exe".
°2. Регистрирует себя как службу с именем "NetBios Ext". Прописывается
в системном реестре:
°2. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBios Ext]
°2. "ImagePath"="%Каталог Windows%\services.exe serv"
°2. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBios Ext]
°2. "ImagePath"="%Каталог Windows%\services.exe serv"
°3. Cоздает уникальный идентификатор "ertglddfgd" для определения
своего присутствия в системе.
Размножение через email
Характеристики зараженных писем выбираются из приводимых ниже списков
произвольным образом.
Почтовый сервер отправителя:
@1access.net
@a1isp.net
@accessus.net
@address.com
@ameralinx.net
@aol.com
@apci.net
@arczip.com
@aristotle.net
@att.net
@cableone.net
@cais.com
@canada.com
@cayuse.net
@ccp.com
@ccpc.net
@chello.com
@compuserve.com
@core.com
@cox.net
@cybernex.net
@dailymail.co.uk
@dialupnet.com
@earthlink.net
@eclipse.net
@eisa.com
@ev1.net
@excite.com
@fast.net
@fcc.net
@flex.com
@gbronline.com
@globalbiz.net
@globetrotter.net
@gmx.net
@highstream.net
@hiwaay.net
@hotmail.com
@ieway.com
@inext.fr
@infoave.net
@iquest.net
@isp.com
@ispwest.com
@istep.com
@juno.com
@loa.com
@macconnect.com
@madriver.com
@mail.com
@msn.com
@nccw.net
@netcenter.com
@netrox.net
@netzero.net
@pacific.net.sg
@palm.net
@pathlink.com
@peoplepc.com
@pics.com
@rcn.com
@ricochet.com
@surfree.com
@tiscali.com
@toad.net
@t-online.com
@t-online.de
@ultimanet.com
@verizon.net
@wanadoo.com
@worldcom.com
@worldshare.net
@wwc.com
@yahoo.co.uk
@yahoo.com
@ziplink.net
Подпись:
+++ Attachment: No Virus found
+++ <подпись антивирусной компании>
Подпись антивирусной компании выбирается из следующего списка:
Bitdefender AntiVirus - www.bitdefender.com
F-Secure AntiVirus - www.f-secure.com
Kaspersky AntiVirus - www.kaspersky.com
MC-Afee AntiVirus - www.mcafee.com
MessageLabs AntiVirus - www.messagelabs.com
Norman AntiVirus - www.norman.com
Norton AntiVirus - www.symantec.de
Panda AntiVirus - www.pandasoftware.com
Действие.
Для получения свободного доступа в интернет, червь регистрирует себя в
FirewallPolicy, становясь, таким образом, "легальной программой".
После этого червь отключает возможность изменения системного реестра.
Червь полностью блокирует пользователю доступ к сайтам антивирусных
компаний, изменяя соответствующим образом файл
"%System32%\drivers\etc\hosts" в системном каталоге Windows.