ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLM.MyDoom.49

(Email-Worm.Win32.Mydoom.am, Email-Worm.Win32.Mydoom.m, W32.Mydoom.AZ@mm, W32.Mydoom.BA@mm, W32.Mydoom.BB@mm, W32.Mydoom.M@mm, W32.Mydoom.gen@mm, W32/Mydoom.bc@MM, W32/Mydoom.bc@MM!zip, W32/Mydoom.bd@MM, W32/Mydoom.be@MM, W32/Mydoom.gen@MM, W32/Mydoom.o@MM, WORM_MYDOOM.BA, WORM_MYDOOM.BC, WORM_MYDOOM.BD, WORM_MYDOOM.GEN, WORM_MYDOOM.M, Win32/MyDoom.O!Worm, Win32/Mydoom.26011!Worm, Win32/Mydoom.AX!Worm, Win32/Mydoom.AY!Worm, Win32/Mydoom.AY!ZIP!Worm, Win32/Mydoom.AZ!Worm, Win32/Mydoom.Variant!Worm)

Добавлен в вирусную базу Dr.Web: 2005-05-22

Описание добавлено:

Тип вируса: Почтовый червь массовой рассылки

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: 28 864 байт

Упакован: UPX

Техническая информация

  • Создаёт файлы java.exe и services.exe (детектируется Dr.Web® как Win32.HLLM.MyDoom.54464) в каталоге %WinDir%
  • Для обеспечения своего запуска при каждой загрузке Windows создаёт ключи в секции реестра:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    "JavaVM" = "%Windir%\java.exe"
    "Services" = "%Windir%\services.exe"

  • Файл services.exe представляет собой backdoor-компоненту. Открывает порт TCP 1034 на скомпрометированном компьютере и пытается установить соединение с другими инфицированными компьютерами, перебирая IP-адреса случайным образом. По этому же порту отслеживает все входящие соединения.
  • Копирует в папку профайла пользователя файлы zincite.log и [случайное имя].log. Эти файлы представляют собой зашифрованные списки IP-адресов для работы backdoor-компоненты services.exe. Оба файла детектируются антивирусом Dr.Web как Win32.HLLM.MyDoom.Log.
  • Ищет почтовые адреса для своей дальнейшей рассылки. Для этого просматривает файлы со следующими расширениями:

    .pl*
    .ph*
    .tx*
    .ht*
    .asp
    .sht
    .adb
    .dbx
    .wab

  • Обрабатывает адреса, в которых вместо символа @ используются комбинации .dot. _dot_ (dot) at _at_ (at) .at.

  • Не рассылает свои копии по адресам, которые содержат следующие подстроки:

    mailer-d
    spam
    abuse
    master
    sample
    accoun
    privacycertific
    bugs
    listserv
    submit
    ntivi
    support
    admin
    page
    the.bat
    gold-certs
    ca
    feste
    not
    help
    foo
    no
    soft
    site
    rating
    me
    you
    your
    someone
    anyone
    nothing
    nobody
    noone
    info
    winrar
    winzip
    rarsoft
    sf.net
    sourceforge
    ripe.
    arin.
    google
    gnu.
    gmail
    seclist
    secur
    bar.
    foo.com
    trend
    update
    uslis
    domain
    example
    sophos
    yahoo
    spersk
    panda
    hotmail
    msn.
    msdn.
    microsoft
    sarc.
    syma
    avp
    _-!.
    _-!.@
    spm
  • Для рассылки инфицированных писем использует собственную реализацию SMTP-протокола.
  • Формируемые червём письма имеют следующий вид:

    В поле From подставляются строки:

    Postmaster
    Mail Administrator
    Automatic Email Delivery Software
    Post Office
    The Post Office
    Bounced mail
    Returned mail
    MAILER-DAEMON
    Mail Delivery Subsystem

  • Тема сообщения подставляется случайным образом из списка:

    hello
    hi
    error
    status
    test
    report
    delivery failed
    Message could not be delivered
    Mail System Error - Returned Mail
    Delivery reports about your e-mail
    Returned mail: see transcript for details
    Returned mail: Data format error delivered

  • Тело сообщения может следующим (в фигурных скобках через символ "|" указываются варианты подстановки):

    Dear user {[электронный адрес получателя]|of [почтовый домен получателя]},
    { {{M|m}ail {system|server} administrator|administration} of [почтовый домен получателя]
    would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
    {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account
    {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk}
    e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
    {We suspect that|Probably,|Most likely|Obviously,}
    your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}}
    and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
    {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|}
    {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
    {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
    {[почтовый домен получателя] {user |technical |}support team.|
    The [почтовый домен получателя] {support |}team.}

    {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
    Your message {was not|could not be} delivered because the destination {computer|server} was
    {not |un}reachable within the allowed queue period. The amount of time a message is queued
    before it is returned depends on local configuration parameters.
    Most likely there is a network problem that prevented delivery, but
    it is also possible that the computer is turned off, or does not
    have a mail system running right now.

    Your message {was not|could not be} delivered within [случайное число] days:
    {{{Mail s|S}erver}|Host} [узел, на который отправляется письмо]} is not responding.
    The following recipients {did|could} not receive this message: [[почтовый адрес получателя]]
    Please reply to postmaster@{[почтовый домен отправителя]|[почтовый домен получателя]}
    if you feel this message to be in error. The original message was received at [текущее время]{
    | }from {[почтовый домен отправителя] ]|{[узел, на который отправляется письмо]]|]}}
    ----- The following addresses had permanent fatal errors -----
    {[[почтовый адрес получателя]]|[почтовый адрес получателя]}
    {----- Transcript of {the ||}session follows -----
    ... while talking to {host |{mail |}server ||||}{[почтовый домен получателя
    ].|[узел, на который отправляется письмо]]}:
    {]]] MAIL F{rom|ROM}:[Поле From почтового адреса]
    [[[ 50$d {[From address of mail]... |}{Refused|{Access
    d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 [[почтовый адрес получателя]]... {Mail quota
    exceeded|Message is too
    large}
    554 [[почтовый адрес получателя]]... Service unavailable|550 5.1.2 [[почтовый адрес получателя]]... Host unknown (Name server: host not found)|554 {5.0.0
    |}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
    Session aborted{, reason: lost connection|}|]]] RCPT To:[[почтовый адрес
    получателя
    ]]
    [[[ 550 {MAILBOX NOT FOUND|5.1.1 [[почтовый адрес получателя]]... {User
    unknown|Invalid recipient|Not known here}}|]]] DATA
    {[[[ 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
    |}{[[[ 400-aturner; -RMS-E-CRE, ACP file create failed
    |}{[[[ 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
    |}[[[ 400}|}

    The original message was included as an attachment.

    {{The|Your} m|M}essage could not be delivered

  • Имя вложения выбирается произвольным образом из списка:

    ATTACHMENT
    DOCUMENT
    FILE
    INSTRUCTION
    LETTER
    MAIL
    MESSAGE
    README
    TEXT
    TRANSCRIPT

  • Расширение вложенного файла присваивается произвольным образом:

    .bat
    .cmd
    .com
    .exe
    .pif
    .scr
    .zip

  • Информация по восставновлению системы

    1. Отключить компьютер от локальной сети и/или Интернета. Остановить все запущенные сетевые службы.
    2. Проверить компьютер антивирусной утилитой Dr.Web CureIt! в Безопасном режиме (Safe Mode). Для всех поражённых файлов выбрать действие "Лечить"
    3. Восстановить реестр из резервной копии.

    Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом:
    Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory).

    Российский разработчик антивирусов Dr.Web с 1992 года
    Dr.Web в Реестре Отечественного ПО
    Dr.Web совместим с российскими ОС и оборудованием
    Dr.Web пользуются в 200+ странах мира
    Техническая поддержка 24х7х365 Рус | En

    Dr.Web © «Доктор Веб»
    2003 — 2021

    «Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

    125124, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А