«Mydoom.B» собирается атаковать Microsoft

Анатолий Ализар

≡ Архив | архивная статья | 29.01.2004 13:17

Появилась модификация червя «Mydoom.B», который почти идентичен своему «коллеге» «Mydoom.A», но запрограммирован на новый объект DDoS-атаки — сайт корпорации Microsoft. Распространяется «Mydoom.B» так же стремительно.

Червь «Mydoom.А» поставил новый рекорд, заразив за 24 часа 15% всех электронных писем в интернете, то есть примерно каждое девятое письмо содержало в себе исполняемый код. Таким образом, «Mydoom.А» стал самым широко распространенным вирусом в истории. Прежний рекордсмен, «SoBig-F», в прошлом августе смог заразить лишь 1/17 писем. Как и в прошлый раз, коммуникационные каналы интернета сейчас переполнены авто-ответами почтовых роботов и вирусных фильтров, которые все еще не научились распознавать подмену в поле «From». До сих пор почтовые службы работают очень плохо и все другие интернет-сервисы ужасно тормозят.

Остается только предполагать, как много компьютеров «Mydoom.А» заразил на текущий момент и что произойдет с интернетом 1 февраля, когда вирус начнет действовать. Вроде бы «Mydoom.А» не очень страшен: он всего лишь посылает команду GET по адресу www.sco.com, то есть порождает немножко лишнего трафика в сети. Но огромные масштабы этой пиринговой атаки могут привести к действительно непредсказуемым последствиям, вплоть до отключения некоторых сегментов интернета. Но это еще не самое плохое.

Хуже то, что «Mydoom.А» превращает зараженный компьютер в подобие прокси-сервера, через который можно прокачивать любую информацию. Все зараженные компьютеры видны автору вируса словно открытая книга. Они ждут его команды, слушая порт TCP/IP 3127. Сегодня, 29 января, судя по всему, такая команда поступила, и по сети быстро распространился еще один рабочий код, который уже успешно внедрился на миллионы компьютеров. Это модификация червя «Mydoom.В». Как и прежний червь, он не наносит зараженному компьютеру абсолютно никакого вреда.

Известно, что червь «Mydoom.В» («I-Worm.Novarg.B») распространяется по электронной почте и файлообменной сети KaZaA. Файл-носитель червя имеет размер около 28 килобайт и содержит текстовую строку «sync-1.01; andy; I’m just doing my job, nothing personal, sorry» («Андрюха, извини, я просто делаю свою работу, ничего личного» — возможно, послание от автора «Mydoom.В» автору «Mydoom.А»). Объект DDoS-атаки сменился с сайта www.sco.com на www.microsoft.com.

Как и в предыдущей модификации, вирус активизируется только в случае, когда пользователь сам откроет вложенный файл. После этого червь копирует себя в системную папку Windows с именем explorer.exe, запускает программу Notepad, в которой отображает произвольный набор символов. Также червь создает в системной папке Windows файл с именем ctfmon.dll, который является backdoor-компонентой данного вируса. Вносится ряд изменений в системный реестр, что позволяет вирусу автоматически активироваться при каждом запуске Windows.

Червь Mydoom.В также вносит изменения в файл «hosts» в каталоге Windows, что позволяет блокировать доступ к серверам ряда антивирусных и ИТ-компаний. Это может привести к тому, что пользователи таких антивирусных продуктов, как F-secure, Mcafee, AVP (KAV), Symantec (NAV), sophos и E-Trust не будут защищены от червя — они не смогут обновить свои антивирусные продукты. При попытке захода на эти сайты появляется сообщение о невозможности найти страницу.

комментарии(2)

разделы: Архив