[InetQuestion] Re: Про опасный вирус
Здравствуйте!
Вы писали во вторник, 27-го января 2004, примерно в 21:35:46 (GMT +0500),
mid:20040127204335.650***@i*****.subscribe
k> Я <удалил> все файлы, созданные вирусом (мне пришло три заражённых
k> письма, и я пустил-таки вирус к себе :-(((). Не знаю, помогло ли? А
k> также стёр все значения реестра, созданные вирусом.
k> Желаю удачной борьбы с этим <паразитом>!!!
Это про который? новый или старый?
Вот описание нового:
I-Worm.Novarg (Mydoom)
[ 27.01.2004 08:21, обновлено 27.01.2004 12:57, GMT +03:00, Москва ]
Опасность : высокая
Служба круглосуточного мониторинга "Лаборатории Касперского" сообщает
о зафиксированом ночью 27 января 2004 года начале крупномасштабной
эпидемии почтового червя Novarg, также известного как Mydoom.
В настоящий момент всеми антивирусными компаниями данному червю
присвоен максимальный уровень опасности. Количество зараженных писем в
интернете исчисляется несколькими миллионами экземпляров.
Подробный анализ кода вируса опубликован в "Вирусной энциклопедии".
Процедуры обнаружения и удаления данного червя уже добавлены в
антивирусные базы "Антивируса Касперского".
I-Worm.Novarg
Вирус-червь. Также известен как Mydoom.
Распространяется через интернет в виде файлов, прикрепленных к
зараженным письмам, а также по сетям файлообмена Kazaa. Червь является
приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован
UPX. Размер распакованного файла около 40KB.
Червь активизируется, только если пользователь сам откроет архив и
запустит зараженный файл (при двойном щелчке на вложении). Затем червь
инсталлирует себя в систему и запускает процедуры своего
распространения.
Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на
проведение DoS-атаки на сайт www.sco.com 1 февраля 2004 года.
Часть тела вируса зашифрована.
Инсталляция
После запуска червь запускает Windows Notepad в котором демонстрирует
произвольный набор символов:
При инсталляции червь копирует себя с именем "taskmon.exe" в системный
каталог Windows и регистрирует этот файл в ключе автозапуска
системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMon" = "%System%\taskmon.exe"
Червь создает в системном каталоге Windows файл "shimgapi.dll",
являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует
его в системном реестре:
[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"(Default)" = "%SysDir%\shimgapi.dll"
Таким образом, данная DLL запускается как дочерний процесс "Explorer.exe".
Также червь создает файл "Message" во временном каталоге системы
(обычно, %windir\temp). Данный файл содержит произвольный набор
символов.
Для идентификации своего присутствия в системе червь создает несколько
дополнительных ключей системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
Для этой же цели, в процессе работы, червь создает уникальный идентификатор "SwebSipcSmtxSO".
Рассылка писем
При рассылке зараженных писем червь использует собственную
SMTP-библиотеку. Червь пытается осуществить прямое подключение к
почтовому серверу получателя.
Для обнаружения адресов электронной почты, по которым будет вестись
рассылка зараженных писем, червь ищет на диске файлы, имеющие
расширения:
asp
dbx
tbb
htm
sht
php
adb
pl
wab
txt
и собирает найденные в них адреса электронной почты. При этом червем
игнорируются адреса, оканчивающиеся на ".edu".
Содержание зараженных писем
Адрес отправителя:
[произвольный]
Тема письма выбирается произвольно из списка:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Тело письма выбирается произвольно из списка:
test
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
The message contains Unicode characters and has been sent
as a binary attachment.
Mail transaction failed. Partial message is available.
Имя вложения может иметь либо одно слово, либо быть составленным из
двух отдельных, соединенных символом "_":
document
readme
doc
text
file
data
test
message
body
Вложения могут иметь одно из расширений:
pif
scr
exe
cmd
bat
Также червь может посылать письма с бессмысленным набором символов в
теме письма, тексте письма и имени вложения.
Размножение через P2P
Червь проверяет наличие установленного на машине клиента Kazaa и
копирует себя в каталог файлообмена под следующими именами:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
с расширением из списка:
bat
exe
scr
pif
Прочее
"Shimgapi.dll" представляет из себя прокси-сервер. Червь открывает на
зараженной машине TCP порт из диапазона от 3127 до 3198 для приема
команд. Функционал "бэкдора" позволяет злоумышленнику получить полный
доступ к системе. Кроме этого, "бэкдор" может загружать из интернета и
запускать на исполнение произвольные файлы.
В черве заложена функция организации DoS-атаки на сайт www.sco.com.
Эта функция должна быть активирована 1 февраля 2004 года и будет
работать вплоть до 12 февраля 2004 года. Червь каждую миллисекунду
отсылает на 80 порт атакуемого сайта запрос GET, что в условиях
глобальной эпидемии может привести к полному отключению данного сайта.
