Вы интересовались исходниками MyDoom? - будьте любезны!

09 февраля 2004

[09.02.2004]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о начале распространения по сети интернет нового червя, использующего компьютеры, ранее зараженные почтовым червем MyDoom. Антивирусные средства семейства Dr.Web® детектируют его как Win32.HLLW.MyDoom.43008. Другие антивирусные программы определяют червя как W32.HLLW.Doomjuice, WORM_DOOMJUICE.A, Win32/Mydoom.C, Worm.Win32.Doomjuice.

В настоящее время сложно говорить о массовом распространении этого вируса, поскольку он использует редкий, если не сказать уникальный способ для своего размножения - сканирование глобальной сети в поисках компьютеров, у которых открыт порт 3127, что в подавляющем большинстве случаев является признаком заражения червем Win32.HLLM.MyDoom.32768. Сам факт зараженности компьютера этим червем (вернее, его троянским компонентом) очень красноречиво говорит о том, что его хозяин или хозяйка весьма прохладно относятся к использованию антивирусных средств, если вообще знают об их существовании. Соответственно, от них сложно ждать информации о заражении их компьютеров какими-либо вирусами или червями.

Используя уязвимость пораженных первым вариантом MyDoom систем, новый червь проникает туда и первым делом обеспечивает свой автоматический запуск при последующих стартах системы, прописывая ссылку на свою копию (предусмотрительно помещаемую им в системный каталог Windows):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Gremlin=%winsys%\intrenat.exe
Длина файла intrenat.exe - 36 864 байта в упакованном виде (используется упаковщик UPX).

Самое курьезное в истории с этим червем является то, что он аккуратно раскладывает в нескольких местах - в корне диска C:\ и в директории Windows файл-архив с именем sync-src-1.00.tbz, в котором упакованы исходники почтового червя массовой рассылки Win32.HLLM.MyDoom.32768. Жалко только, что те, у кого на компьютере эти исходники появятся, не смогут по достоинству оценить такой подарок.

У червя есть и одна серьезная деструктивная особенность - будучи запущенным на пораженном компьютере, он предпринимает DoS-атаку на сайт microsoft.com. В период с 8 по 12 февраля эти атаки идут довольно робко - червь отводит только одну-две нити на это занятие, но стоит дате перешагнуть за 12 февраля, как червь начнет атаковать всеми любимый сайт бесчисленным количеством потоков с каждого пораженного компьютера, что наверняка заставит сервера корпорации Microsoft работать, мягко выражаясь, с повышенной нагрузкой.

Пользователям антивирусных продуктов Dr.Web® для Windows заражение данным вирусом не грозит - ведь для его попадания в систему необходимо первичное заражение предыдущими версиями червя MyDoom, что практически исключено, если на компьютере стоит ативирус Dr.Web®. Но для тех, кто ранее не пользовался антивирусными программами, мы рекомендуем немедленно установить последнюю версию нашего антивируса - 4.31

Более подробную информацию о черве Win32.HLLW.MyDoom.43008 читайте на нашем сайте позднее.

8
;