Описание
Win32.HLLM.MyDoom.34816 - почтовый червь массовой рассылки. Упакован компрессионной утилитой UPX. Размер червя в распакованном виде 34, 816 байт.
Распространение
Почтовое сообщение формируется червем при помощи собственной реализации механизма SMTP следующим образом.
Адрес отправителя подставляется червем. Имя отправителя представляет собой комбинацию имени и фамилии, произвольно выбранных из следующего списка:
Porter Tucker Stevens Simpson Webb Wells Freeman Murray Gomez Ortiz Marshall Cruz Parker Campbell Phillips Turner Roberts Perez Mitchell Carter Nelson Gonzalez Baker Adams Green Hill Lopez Wright King Hernandez Young Allen Hall Walker Lee Lewis Rodriguez Clark Robinson Martinez Garcia Thompson Martin Harris White Jackson Anderson Taylor Moore Wilson Miller Davis Brown Jones Williams Johnson Smith Leon Tommy Lloyd Bill Ronnie Jon Alex Calvin Tom Jim Jay Oscar Miguel Clifford Theodore Micheal Marcus Francisco Leroy Mario Bernard Alexander Barry Randall Troy Ricky Carl Henry Douglas Harold Peter Patrick Walter Dennis Jerry Joshua Gregory Raymond Andrew Stephen Eric Scott Frank Jeffrey Larry Jose Timothy Gary Matthew Jason Kevin Anthony Ronald Brian Edward Steven Kenneth George Donald Mark Paul Daniel Christopher Thomas Joseph Charles Richard David William Michael Robert John JamesДоменное имя адреса отправителя может быть
cox.net yahoo.com, @msn.com, @yahoo.co.uk, @t-online.de, @gmx.net, @hotmail.com, @aol.com, @mail.com, @dailymail.co.uk.
Темы сообщений:
FW: jenna's photos :) FW: new photos FW: 2 new photos FW: hi, it's me FW: it's me FW: (no subject) FW: that's me :-D FW: my photos FW: hello sweety :> FW: hi FW: remember me?..Тексты сообщений:
-----Original Message----- From: Jeny K. Sent: Tuesday, September 7, 2004 8:57 PM To: Morpheus check my new photos :)) miss you, jeny k -----Original Message----- From: Jena K. Sent: Tuesday, September 7, 2004 5:23 AM To: friends Check Out Archive.. So.. What Do You Think... Am I Hot? :) Waining For Your Answer Jena Key -----Original Message----- From: jenny k. Sent: Tuesday, September 7, 2004 10:23 AM To: My Tiger (e-mail) new fotos(archived) you asked jenny k -----Original Message----- From: jenna k. (e-mail) Sent: Tuesday, September 7, 2004 11:38 AM To: Cat my new fotos archived )) kiss, jenna k -----Original Message----- From: Jeny Sent: Tuesday, September 7, 2004 8:57 PM To: Neo see the photos in attached archive :)) kiss you, jeny -----Original Message----- From: Jena Sent: Tuesday, September 7, 2004 5:23 AM To: friend Photos in archive.. So.. Am I Hot? :) Waining For Your Answer Jena -----Original Message----- From: Jenna Knukles Sent: Tuesday, September 7, 2004 9:05 AM To: Friends Group in self-extracting archive my photos Jenna :) -----Original Message----- From: jenna (e-mail) Sent: Tuesday, September 7, 2004 11:38 AM To: ma kittie my photos archived )) kiss, jenna -----Original Message----- From: Jeny K. Sent: Tuesday, September 7, 2004 8:57 PM To: Morpheus check out the new photos :)) miss you, jeny k -----Original Message----- From: Jena K. Sent: Tuesday, September 7, 2004 5:23 AM To: friends So.. What Do You Think... Am I Hot? :) Waining For Your Answer Jena Key -----Original Message----- From: Jenna Knukles Sent: Tuesday, September 7, 2004 9:05 AM in archive my new fotos Jenna K :) -----Original Message----- From: jenny k. Sent: Tuesday, September 7, 2004 10:23 AM To: My Tiger (e-mail) new fotos you asked jenny k -----Original Message----- From: jenna k. (e-mail) Sent: Tuesday, September 7, 2004 11:38 AM To: Cat my new fotos zipped )) kiss, jenna k -----Original Message----- From: Jeny Sent: Tuesday, September 7, 2004 8:57 PM To: Neo see the photos :)) kiss you, jeny -----Original Message----- From: Jena Sent: Tuesday, September 7, 2004 5:23 AM To: friend So.. Am I Hot? :) Waining For Your Answer Jena -----Original Message----- From: Jenna Knukles Sent: Tuesday, September 7, 2004 9:05 AM To: Friends Group in archive my photos Jenna :) -----Original Message----- From: jenny Sent: Tuesday, September 7, 2004 10:23 AM To: Mr.X (e-mail) photos you asked jenny -----Original Message----- From: jenna (e-mail) Sent: Tuesday, September 7, 2004 11:38 AM To: ma kittie my photos zipped )) kiss, jennaЗа текстом следует стандартное окончание послания:
+++ Attachment: No Virus found +++ %sсопровождаемое подписью одной из антивирусных компаний:
Norton AntiVirus - www.symantec.de F-Secure AntiVirus - www.f-secure.com Norman AntiVirus - www.norman.com Panda AntiVirus - www.pandasoftware.com Kaspersky AntiVirus - www.kaspersky.com MC-Afee AntiVirus - www.mcafee.com Bitdefender AntiVirus - www.bitdefender.com MessageLabs AntiVirus - www.messagelabs.comНаименования вложений:
myfoto.exe.safe myfoto.exe photos.selfextracting.exe.safe photoarchive.exe photofile.exe.safe arc.exe.safe my_foto.exe fotos.exe foto.exe photos.exe.safe photo_se.exe new_photos.exe newphotos.exe myphotos_arc.exe my_photos.exe photos_arc.exe new_photos.zip images.zip fotos.zip my_photos.zip myphotos.zip photos.zipВложения также могут иметь двойные расширения, между которыми множество пробелов:
me_01.jpg .pif 2004042301.jpg .pif with_flowers.jpg .pif sunny.jpg .pif photo08.jpg .pif nude_.jpg .pif marie_dancing.jpg .pif julia038.jpg .pifДальнейшая рассылка осуществляется по адресам, которые червь извлекает из файлов с расширениями wab, xls, vbs, uin, txt, tbb, stm, sht, php, msg, mht, jsp, htm, eml, dht, dbx, cgi, cfg, asp находящихся в директориях Application Data, My Documents, Desktop, Local Settings, Temporary Internet Files и адресной книге Windows (WAB) через ключ реестра
Software\Microsoft\WAB\WAB4\Wab File Name.
Рассылка не осуществляется по адресам, в которых содержатся следующие последовательности символов:
gold-certs feste submit help service privacy somebody contact site someone anyone nothing nobody noreply noone webmaster news rating postmaster samples info root www upport abuse accoun certific listserv bsd ntivi admin icq.com mozilla utgers.ed tanford.e pgp acketst secur isc.o isi.e ripe. arin. sendmail rfc-ed ietf iana usenet fido kernel google ibm.com fsf. gnu mit.e math berkeley support messagelabs antivi kasp linux unix spam @iana @foo. .mil gov. .gov icrosoft ruslis nodomai mydomai example inpris borlan sopho panda icrosof syman avp.
Действия
- Копирует себя в системную директорию в виде файла win32s.exe и autorun.exe в Start Menu\Programs\Startup\ \ USERPROFILE
- Загружает из сети интернет и запускает следующиий файл, который представляет собой троянскую утилиту:
http://www.mercyships.de/html/content/guestbook/data/data2.dat http://69.93.58.116/blood.gif http://64.40.98.94/icon/icon.exe http://www.il-legno.it/forumBB/postmsg.gif http://www.professionals-active.com/adclik/click.dat http://www.masteratwork.com/heyyo/wassup/00000008.cgi
Размер файла 251904 байта. - Добавляет данные Win32System в ключ реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
обеспечивая, таким образом, запуск своей копии
