ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLM.MyDoom.33

(Worm/Mytob.CG, W32/Mytob.y@MM, Win32.Worm.Mytob.DAR, Generic.Mydoom.2B957DA1, Worm:Win32/Mytob.AF@mm, I-Worm/Mytob.AX, Exploit.MS04-011, WORM_MYTOB.BH, Generic.Mydoom.AD0FBB5E, Worm:Win32/Mytob.AE@mm, Worm/Mytob.AT, Win32/Mytob.AW!Worm, WORM_MYTOB.MB, Worm/Mytob.DI, Net-Worm.Win32.Mytob.y, WORM_MYTOB.EU, W32.Mytob.AS@mm, I-Worm/Mytob.AO, Net-Worm.Win32.Mytob.dam, EXP/Shellcode.I, Worm/Mytob.BB)

Добавлен в вирусную базу Dr.Web: 2005-04-11

Описание добавлено:

Тип вируса: Почтовый червь массовой рассылки

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: 55 296 байт

Упакован: MEW

Техническая информация

Будучи запущенным неосторожным пользователем червь копирует себя в каталог %System% под именем msmgrxp.exe.

  • Для обеспечения своего запуска при каждой загрузке Windows модифицирует ключи системного реестра в секции автозагрузки:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "WINTASK" = "%System%\msmgrxp.exe"

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "WINTASK" = "%System%\msmgrxp.exe"

  • Создаёт свои копии в корневом каталоге диска С: с именами:

    funny_pic.scr
    my_photo2005.scr
    see_this!!.scr

    Помимо этих файлов создаёт файл hellmsn.exe, который определяется Dr.Web как Win32.HLLW.Bropia. Размер файла примерно 6 Кбайт.

  • Для своей дальнейшей рассылки ищут адреса электронной почты. Ревизии подвергаются файлы с такими расширениями:

    wab
    pl
    adb
    tbb
    dbx
    asp
    php
    sht
    htm

  • Не рассылает свои копии, если адрес отправителя содержит следующие подстроки:
    certific
    listserv
    ntivi
    support
    icrosoft
    admin
    page
    the.bat
    gold-certs
    ca
    feste
    submit
    not
    help
    service
    privacy
    somebody
    no
    soft
    contact
    site
    rating
    bugs
    me
    you
    your
    someone
    anyone
    nothing
    nobody
    noone
    webmaster
    postmaster
    samples
    info
    root
    mozilla
    utgers.ed
    tanford.e
    pgp
    acketst
    secur
    isc.o
    isi.e
    ripe.
    arin.
    sendmail
    rfc-ed
    ietf
    iana
    usenet
    fido
    linux
    kernel
    google
    ibm.com
    fsf.
    gnu
    mit.e
    bsd
    math
    unix
    berkeley
    foo.
    .mil
    gov.
    .gov
    ruslis
    nodomai
    mydomai
    example
    inpris
    borlan
    sopho
    panda
    icrosof
    syma
    avp
    -._!
    -._!@
    abuse
    www
    fcnz
    spm
    .edu

  • Тема рассылаемых червём писем выбирается из списка:

    Error
    Good day
    Hello
    Mail Delivery System
    Mail Transaction Failed
    Server Report
    Status

  • Текст в поле От подставляется случайным образом из списка:

    sandra
    lolita
    britney
    bush
    linda
    julie
    jimmy
    jerry
    helen
    debby
    claudia
    brenda
    anna
    madmax
    brent
    adam
    ted
    fred
    jack
    bill
    stan
    smith
    steve
    matt
    dave
    dan
    joe
    jane
    bob
    robert
    peter
    tom
    ray
    mary
    serg
    brian
    jim
    maria
    leo
    jose
    andrew
    sam
    george
    david
    kevin
    mike
    james
    michael
    alex
    john

  • Тело письма может содержать следующий текст:

    Mail transaction failed. Partial message is available.

    The message contains Unicode characters and has been sent as a binary attachment.

    The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

    The original message was included as an attachment.

    Here are your banks documents.

  • Имя вложения может быть следующим: body
    data
    doc
    document
    file
    message
    readme
    test
    text

  • Вложение может быть как с одинарным, так и с двойным расширением. Применяемые расширения:

    bat
    cmd
    doc
    exe
    htm
    pif
    scr
    tmp
    txt
    zip

  • Червь модифицирует файл Windows Hosts, внося в него адреса, к которым блокируется доступ:

    127.0.0.1 www.symantec.com
    127.0.0.1 securityresponse.symantec.com
    127.0.0.1 symantec.com
    127.0.0.1 www.sophos.com
    127.0.0.1 sophos.com
    127.0.0.1 www.mcafee.com
    127.0.0.1 mcafee.com
    127.0.0.1 liveupdate.symantecliveupdate.com
    127.0.0.1 www.viruslist.com
    127.0.0.1 viruslist.com
    127.0.0.1 viruslist.com
    127.0.0.1 f-secure.com
    127.0.0.1 www.f-secure.com
    127.0.0.1 kaspersky.com
    127.0.0.1 www.avp.com
    127.0.0.1 www.kaspersky.com
    127.0.0.1 avp.com
    127.0.0.1 www.networkassociates.com
    127.0.0.1 networkassociates.com
    127.0.0.1 www.ca.com
    127.0.0.1 ca.com
    127.0.0.1 mast.mcafee.com
    127.0.0.1 my-etrust.com
    127.0.0.1 www.my-etrust.com
    127.0.0.1 download.mcafee.com
    127.0.0.1 dispatch.mcafee.com
    127.0.0.1 secure.nai.com
    127.0.0.1 nai.com
    127.0.0.1 www.nai.com
    127.0.0.1 update.symantec.com
    127.0.0.1 updates.symantec.com
    127.0.0.1 us.mcafee.com
    127.0.0.1 liveupdate.symantec.com
    127.0.0.1 customer.symantec.com
    127.0.0.1 rads.mcafee.com
    127.0.0.1 trendmicro.com
    127.0.0.1 www.microsoft.com
    127.0.0.1 www.trendmicro.com

  • Червь осуществляет попытки распространиться по сети Интернет, сканируя компьютеры посредством перебора IP-адресов. При нахождении уязвимости LSASS на целевом компьютере, червь запускает на нём свой код.