Описание
Win32.HLLM.MyDoom.44544 - почтовый червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Упакован упаковщиком UPX. Размер червя в упакованном виде 44 544 байт.
Запуск вируса
С целью обеспечения
запуска своей копии в системе червь вносит изменения в ключ реестра
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
"SVHOST" = "%SysDir%\SVHOST.EXE"
Распространение
Червь массово распространяется по электронной почте, используя свой механизм реализации SMTP-протокола. Адреса для рассылки червь извлекает из файлов со следующими расширениями:
adb
asp
dbx
htm
php
sht
tbb
wab
Почтовое сообщение, инфицированное червем, может выглядеть следующим
образом:
-
Отправитель: содержит имя собственное, написанное с маленькой буквы, например, alex, john или
sam
Тема сообщения:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Текст сообщения:
test
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
Вложение: может иметь два расширения, первое из которых .doc, .htm или .txt, а второе .bat, .cmd, .exe, .pif , .scr или .zip.
Название для вложения выбирается из следующего списка:
body
data
doc
document
file
message
readme
test
text
Действия
Будучи активированным, червь запускает NotePad, и
на экране открывается файл Message, создаваемый червем в директории Temp и состоящий из бессмысленного набора символов.
В это время червь копирует себя в системную директорию Windows (в
Windows 9x и Windows ME это C:\Windows\System, в
Windows NT/2000 это C:\WINNT\System32, в Windows
XP это C:\Windows\System32) в виде файла SVHOST.EXE.
Червь удаляет данные TaskMon
из реестровой записи:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
