Вирусная опасность! Интернет захлестнула волна почтового червя Win32.HLLM.MyDoom.32768

[27.01.2004]

Служба мониторинга вирусной активности ЗАО «ДиалогНаука» сообщает о молниеносном распространении по сети Интернет новой вирусной угрозы - почтового червя массовой рассылки Win32.HLLM.MyDoom.32768 (по классификации других антивирусных вендоров - Mydoom, Shimg, Novarg). В первые же часы своего существования во всемирной сети этот червь сумел заразить десятки тысяч компьютеров на всех континентах.

Программный модуль червя имеет длину 22 528 байт, упакован компрессионной утилитой UPX и может быть при рассылке по почте упакован в ZIP-архив. Почтовое сообщение, с которым рассылается червь, может иметь следующие темы:

Server Report
Mail Delivery System
hi
status
hello
HELLO
Hi
test
Test

При этом содержание почтового сообщения может быть либо произвольным мусором, либо состоять из следующих фраз:

The message contains Unicode characters and 
has been sent as a binary attachment.

The message cannot be represented in 
7-bit ASCII encoding and has been sent as a binary attachment.

Приложение, содержащее непосредственно программный модуль червя, может иметь одно из расширений, свойственных исполняемым файлам (*.scr, *.bat, *cmd, *.exe, *.pif), а также может быть представлено в виде ZIP-архива.

Червь, будучи запущенным неосторожным пользователем, копирует себя в системную директорию Windows под именем taskmon.exe, после чего создает соответствующую ссылку в секции автозапуска системного реестра для обеспечения собственного запуска при каждом старте Windows-сессии. Одновременно червь создает во временной директории текстовый файл, состоящий из случайного набора мусора, который открывает с помощью программы Notepad.exe. Таким образом у пользователя создается иллюзия, что он действительно открыл испорченный текстовый файл.

В это же время червь начинает свою массовую рассылку по адресам, найденным в пораженной системе. При этом он использует свой механизм реализации SMTP-протокола, подбирая возможные имена почтовых серверов для передачи инфицированных писем в соответствующие домены. Если попытка подбора relay-сервера оказывается неудачной, червь отсылает свои копии через SMTP-сервер, являющийся основным для инфицированной системы. Рассылка осуществляется червем одновременно в несколько потоков, что объясняет ее массовый характер.

Другой способ, используемый червем - это распространение по файлообменной сети KaZaA. С этой целью червь копирует себя в директории, используемые для передачи файлов по этой сети.

Помимо способности массово рассылать свои копии, червь несет в себе гораздо более опасную функцию - он открывает доступ третьим лицам к пораженному компьютеру, позволяя злоумышленникам дополнительно загружать и запускать на нем другие программы. Червь открывает порты с 3127 по 3198 и ждет поступления на них команд от удаленного пользователя. Предполагается, что 1 февраля со всех компьютеров, которые будут к тому времени заражены и будут иметь доступ в интернет, будет осуществлена DoS-атака на сайт группы SCO, известной своими судебными исками по поводу авторских прав на операционную систему UNIX.

Скорость распространения нового червя такова, что специалисты оценивают эту эпидемию гораздо серьезнее, чем даже эпидемию червя Reteras в августе 2003 года.

Пользователям антивирусных программ семейства Dr.Web рекомендуется немедленно обновить свои вирусные базы для защиты собственных компьютеров и предотвращения распространения червя по сети интернет.