Эффективный Интернет.

Выпуск 22.

Внимание! Эпидемия!

Уникальные CD. Школа Своего Дела. Партнерская программа.

Здравствуйте!

Сегодня, в три часа ночи началась новая эпидемия, знакомьтесь...

-Worm.Novarg

Вирус-червь. Также известен как Mydoom.

Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB.

Червь активизируется, только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайт www.sco.com 1 февраля 2004 года.

Часть тела вируса зашифрована.
Инсталляция
После запуска червь запускает Windows Notepad в котором демонстрирует произвольный набор символов.

При инсталляции червь копирует себя с именем "taskmon.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMon" = "%System%\taskmon.exe"
Червь создает в системном каталоге Windows файл "shimgapi.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"(Default)" = "%SysDir%\shimgapi.dll"
Таким образом, данная DLL запускается как дочерний процесс "Explorer.exe".

Также червь создает файл "Message" во временном каталоге системы (обычно, %windir\temp). Данный файл содержит произвольный набор символов.

Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
Для этой же цели, в процессе работы, червь создает уникальный идентификатор "SwebSipcSmtxSO".
Рассылка писем
При рассылке зараженных писем червь использует собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к почтовому серверу получателя.

Для обнаружения адресов электронной почты, по которым будет вестись рассылка зараженных писем, червь ищет на диске файлы, имеющие расширения:

asp
dbx
tbb
htm
sht
php
adb
pl
wab
txt
и собирает найденные в них адреса электронной почты. При этом червем игнорируются адреса, оканчивающиеся на ".edu".
 

Адрес отправителя:

[произвольный]
Тема письма выбирается произвольно из списка:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Тело письма выбирается произвольно из списка:

test

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

The message contains Unicode characters and has been sent
as a binary attachment.

Mail transaction failed. Partial message is available.
Имя вложения может иметь либо одно слово, либо быть составленным из двух отдельных, соединенных символом "_":

document
readme
doc
text
file
data
test
message
body
Вложения могут иметь одно из расширений:

pif
scr
exe
cmd
bat
Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.
Размножение через P2P
Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
с расширением из списка:

bat
exe
scr
pif
Прочее
"Shimgapi.dll" представляет из себя прокси-сервер. Червь открывает на зараженной машине TCP порт из диапазона от 3127 до 3198 для приема команд. Функционал "бэкдора" позволяет злоумышленнику получить полный доступ к системе. Кроме этого, "бэкдор" может загружать из интернета и запускать на исполнение произвольные файлы.

В черве заложена функция организации DoS-атаки на сайт www.sco.com . Эта функция должна быть активирована 1 февраля 2004 года и будет работать вплоть до 12 февраля 2004 года. Червь каждую миллисекунду отсылает на 80 порт атакуемого сайта запрос GET, что в условиях глобальной эпидемии может привести к полному отключению данного сайта.

Если Вас интересует этот вопрос, рекомендую CD "Секреты Супер Хакера. Бесплатный Интернет".

У него несколько претензионное название, но оно оправдывает себя на все 100%. Отличная подборка информации, в том числе и по программированию вирусов, и защите от них.

Подробно об этом диске  смотрите здесь.


Уникальные CD. Школа Своего Дела. Партнерская программа.

Если кого-то мучает вопрос "как бросить курить?", то вам можно посоветовать заглянуть на этот сайт: http://www.stopsmoke.ru, посвященный именно этой проблеме. Если вам сейчас приходят в голову мысли, что вот, опять, будет рассказываться как курение вредно, как это губит здоровье, как воздействует на окружающих, и вообще, каким надо быть волевым человеком, чтобы избавиться от пагубной привычки и т.п. ... вы ошибаетесь. Автор сайта, Тимур Мамедов (который сам был заядлым курильщиком, и, поэтому знает, что это такое), разработал собственную уникальную методику, использующую особые психологические механизмы избавления от курения. И это не пустые слова. Ведь, если подумать, таких методик было уже тысячи. Но, наверное, такого подхода к курящему человеку, который использует система, разработанная Т. Мамедом, еще не применялась. Ведь, по сути, никто не задумывается, почему я начал курить, зачем мне это, что меня к этому привело, вообще - чем курение хорошо? Проанализировав это, избавиться от курения не так уж сложно (обещается, что период ломки пройдет через 3 дня). Читая отзывы людей и сообщения на форуме (коих количество уже больше 2000) сомнений в действенности методики не возникает. Насчет сайта - очень приятный дизайн, и, что очень радует - автор не скрывает своих координат - значит, ему нечего скрывать, и каждый, кто хочет, может с ним связаться и задать вопросы. На сайте можно подписаться на Краткий Курс - в нем подробная информация о методике, а также немного методических материалов. По отзывам - некоторым удается бросить курить при помощи только лишь Краткого Курса.

 

Если Вы желаете, чтобы Ваши адреса публиковались в Рассылке, указывайте это в своих письмах.

Принимаются Ваши статьи для публикации.

До скорой встречи!

Валерий zork@pochtamt.ru