Привет всем,
Внимание! Эпидемия вируса продолжается, поэтому я прошу Вас не
открывать приложения к письмам, которые Вы получаете - именно так
происходит заражение Вашего компьютера. Даже если адресата
отправителя или получателя Вы хорошо знаете.
Лаборатория Касперского сообщила об обнаружении новой модификации
вируса, который в отличие от своего предшественника всячески будет
пытаться противодействовать возможности обновить базы Антивируса.
I-Worm.Mydoom.b
Модифицированный вариант червя I-Worm.Mydoom.a. Распространяется
через интернет в виде файлов, прикрепленных к зараженным письмам, а
также по сетям файлообмена Kazaa.
Червь является приложением Windows (PE EXE-файл), имеет размер 29184
байта, упакован UPX и PE-Patch. Размер распакованного файла около
49KB.
Червь активизируется только если пользователь сам откроет архив и
запустит зараженный файл (при двойном щелчке на вложении). Затем червь
инсталлирует себя в систему и запускает процедуры своего
распространения.
Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на
проведение DoS-атаки на сайты www.microsoft.com и www.sco.com.
Часть тела вируса зашифрована.
В распакованном файле имеется текстовая строка:
(sync-1.01; andy; I'm just doing my job, nothing personal, sorry)
Инсталляция
После старта червь запускает Windows Notepad в котором демонстрирует
произвольный набор символов.
При инсталляции червь копирует себя с именем "explorer.exe" в
системный каталог Windows и регистрирует этот файл в ключе автозапуска
системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = "%System%\explorer.exe"
Червь создает в системном каталоге Windows файл "ctfmon.dll",
являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует
его в системном реестре:
[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"Apartment" = "%SysDir%\ctfmon.dll"
Таким образом данная DLL будет запускаться как дочерний процесс
Explorer.exe.
Также червь создает файл "Body" во временном каталоге системы
(обычно, %windir%\temp). Данный файл содержит произвольный набор
символов.
Для идентификации своего присутствия в системе червь создает
несколько дополнительных ключей системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
Для этой же цели, в процессе работы, червь создает уникальный
идентификатор "sync-v1.01__ipcmtx0". Червь заменяет стандартный файл
"hosts" в каталоге Windows на свой собственный, измененный таким
образом, чтобы пользователь зараженной машины не мог получить доступ
через интернет к следующим доменам:
ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com
Рассылка писем
Функция рассылки писем идентична примененной в варианте Mydoom.a, с
небольшими изменениями. Тело письма выбирается произвольно из списка:
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment
sendmail daemon reported: Error #804 occured during SMTP session.
Partial message has been received
The message contains Unicode characters and
has been sent asa binary attachment.
The message contains MIME-encoded graphics and
has been sent as a binary attachment
Mail transaction failed. Partial message is available.
Также червь может посылать письма с бессмысленным набором символов в
теме письма, тексте письма и имени вложения.
Размножение через P2P
Червь проверяет наличие установленного на машине клиента Kazaa и
копирует себя в каталог файлообмена под следующими именами:
NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final
с расширением из списка:
bat
exe
scr
pif
В связи с многочисленными случаями заражения сетевым червем "Novarg"
("Mydoom"), "Лаборатория Касперского" разработала бесплатную утилиту
для обнаружения и удаления данной вредоносной программы.
Утилита CLRAV производит поиск и нейтрализацию червя в оперативной
памяти и жестком диске зараженного компьютера, а также восстанавливает
оригинальное содержимое системного реестра Windows.
Помимо "Novarg" ("Mydoom") данная утилита эффективно борется с
другими вредоносными программами, в том числе "Klez", "Lentin",
"Opasoft", "Tanatos", "Welchia", "Sobig", "Dumaru", "Swen". CLRAV
будет особенно полезен пользователям других антивирусных программ,
которые могут некорректно обнаруживать и удалять "Novarg".
При запуске данной утилиты "Лаборатория Касперского" рекомендует
закрыть все активные приложения. По окончании ее работы необходимо
перезагрузить компьютер и запустить антивирусный сканер для
полномасштабной проверки компьютера.
Вы можете загрузить утилиту CLRAV по адресу: ftp://ftp.kaspersky.com/utils/clrav.zip
