Новая версия MyDoom показывает кузькину мать

Вебпланета

≡ Архив | архивная статья | 26.02.2004 18:28

Новая опасная версия компьютерного вируса MyDoom начала распространяться в интернете. Версия MyDoom.F может уничтожать файлы операционных систем, включая фотографии, фильмы, документы Word и Excel.

Напомним, что ранние версии вируса никакого ущерба зараженному компьютеру не наносили, а только лишь распространялись по интернету, замедляя коммуникации.

Этот вирус, как и прежние версии, распространяется с помощью посланий по электронной почте. Эта версия вируса запрограммирована на заражение персональных компьютеров и атаки сайтов Microsoft и RIAA — крупнейшего в США звукозаписывающего объединения, которое прославилось судебным преследованием пользователей, скачивающих музыку из интернета.

Украинский Антивирусный Центр разослал пресс-релиз, в котором подробно описываются признаки новой версии вируса.

Почтовый червь I-Worm.Mydoom.f размножается в виде писем с присоединёнными файлами, содержащими тело червя. Размер файла, содержащего червя, — 34797 байт. Исполняемый файл червя имеет иконку текстового документа, чем сбивает с толку пользователей и подталкивает их к запуску червя.

После запуска червь отображает на экране сообщение об ошибке, содержащее одну из строк:

— Unable to open specified file
— File cannot be opened
— File is corrupted

Далее Mydoom.f копирует себя в системную папку Windows со случайным именем и расширением .exe. В реестре создаётся соответствующая запись, приводящая к автоматическому запуску червя при загрузке операционной системы.

Также червём создаётся в системной папке Windows DLL-файл (динамическая библиотека) со случайным именем. Данная библиотека содержит Backdoor-модуль червя.

I-Worm.Mydoom.f рассылает себя по электронной почте. Адреса для рассылки собираются из файлов с расширениями: WAB, MBX, NCH, MMF, ODS, RTF, UIN, OFT, MHT, VBS, MSG, PL, EML, ADB, TBB, DBX, ASP, PHP, SHT, HTM, TXT.

Вирус ищет на всех дисках файлы с расширениями MDB, DOC, XLS, SAV, JPG, AVI, BMP и случайным образом удаляет найденные файлы.

Червь производит DoS атаку на WEB-сайты www.riaa.com или www.microsoft.com. Атака производится только в том случае, если системная дата между 17 и 22 числом любого месяца. Во время проведения атаки червь создаёт случайное количество нитей, каждая из которых производит обращение к атакуемому сайту.

Кроме того, вирус имеет backdoor-модуль, который открывает порт 1080 TCP/IP. Подключившись к данному порту поражённого компьютера, злоумышленник может полностью контролировать машину.

комментарии(0)

разделы: Архив