Mydoom снова в деле

Вебпланета

≡ Архив | архивная статья | 18.02.2005 13:24

Компания Panda Software зафиксировала появление нового червя, которые использует поисковики для быстрого распространения: Mydoom.AO.

Этот червь использует Google, Altavista, Yahoo и Lycos для поиска email-адресов, на которые он рассылает себя. Таким образом, один зараженный компьютер может распространять тысячи копий червя всего за несколько минут. Как заключает Panda Software, вероятность заражения червем Mydoom.AO высока.

Mydoom.AO использует так называемую «социальную инженерию» для обмана пользователей, так что распространяемые письма выглядят как сообщения о недоставленных письмах, например: Message could not be delivered, Mail System Error — Returned Mail, и Delivery reports about your e-mail.

Текст сообщения также варьируется. Один из примеров:

Your message (was not | could not be) delivered because the destination (computer | server) was (not | un) reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters (текст в скобках варьируется).

Имя вложенного файла, который в действительности содержит червя, выбирается произвольно и имеет одно из следующих расширений: ZIP, COM, SCR, EXE, PIF, BAT или CMD.

Если червь заражает компьютер, он создает свою копию под именем JAVA.EXE и ищет email-адреса в адресной книге Windows, временных файлах Интернет и файлах на компьютере с определенными расширениями. После того, как червь выполнит эти действия, он выбирает имена доменов из найденных адресов и использует их для поиска слов в Google, Altavista, Yahoo и Lycos. И наконец, Mydoom.AO отсылает себя на все найденные адреса.

Червь также создает несколько ключей реестра для того, чтобы обеспечить свой запуск при каждом старте системы.

комментарии(0)

разделы: Архив