Характеристика вируса

W32/Mydoom@MM – червь, распространяющийся по электронной почте и через общие файлы в одноранговых сетях (peer-to-peer). Вирус приходит в сообщении электронной почты со следующими характеристиками:

Отправитель (From): (ложный адрес отправителя)

Тема (Subject): случайный заголовок,
например

• Error
• Status
• Server Report
• Mail Transaction Failed
• Mail Delivery System
• hello
• hi

Тело сообщения: случайное,
например

• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• The message contains Unicode characters and has been sent as a binary attachment.
• Mail transaction failed. Partial message is available.

Вложения: (различные [.bat, .exe, .pif, .cmd, .scr]; часто приходит в ZIP-архиве) (22,528 байт)

• вариации (общеизвестные имена, но может быть случайным)
• doc.bat
• document.zip
• message.zip
• readme.zip
• text.pif
• hello.cmd
• body.scr
• test.htm.pif
• data.txt.exe
• file.scr

Иконка, используемая файлом-вложением, может маскировать его под обычный текстовый файл.

Когда файл запускается, он копирует себя в системный каталог WINDOWS под именем taskmon.exe

• %SysDir%\taskmon.exe, где %Sysdir% системный каталог Windows, например C:\WINDOWS\SYSTEM.

В реестре создается следующая запись для автоматического запуска файла в момент старта Windows:

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe

Вирус использует DLL, которую он создает в системном каталоге Windows:

• %SysDir%\shimgapi.dll (4,096 байт)

Эта DLL внедряется в файл EXPLORER.EXE после перезагрузки компьютера. Для этого используется следующий ключ реестра:

• HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll

Распространение через одноранговые сети (Peer To Peer)

Червь копирует себя в общий каталог KaZaa со следующими именами:

• nuke2004
• office_crack
• rootkitXP
• strip-girl-2.0bdcom_patches
• activation_crack
• icq2004-final
• winamp

Компонента удаленного доступа

Червь инициирует возможности удаленного доступа через соединение TCP по порту 3127.

Дополнение в виде атаки для отказа в обслуживании (Denial of Service)

При первом запуске системы 1 февраля или позднее червь меняет свое поведение и прекращает попытки массовых почтовых рассылок, начиная проводить атаки, направленные на отказ в обслуживании (denial of service) против домена sco.com. Такая атака прекратится после 12 февраля или позднее. Впоследствии червь только продолжает слушать порт 3127 по протоколу TCP.

Симптомы заражения

1. Открытие окна Блокнота (Notepad), заполненного бессмысленными символами, в момент запуска вируса.

2. Существование файлов и ключей реестра, описанных выше.

Методы заражения

Вирус пытается распространяться через электронную почту или через копирование самого себя в общий каталог клиентов Kazaa.

Почтовая компонента вируса производит поиск адресов в файлах, находящихся в локальной системе, и имеющих следующие расширения:

• wab
• adb
• tbb
• dbx
• asp
• php
• sht
• htm
• txt

В дополнение ко всему этому, червь содержит текстовые строки, которые, возможно, используются для генерации электронных адресов.

По найденным (сгенерированным) адресам производится рассылка вируса. Вирус пытается предугадать по адресам электронной почты имена почтовых серверов, добавляя к имени домена следующие префиксы:

• mx.
• mail.
• smtp.
• mx1.
• mxs.
• mail1.
• relay.
• ns.

Инструкции по удалению

Для всех пользователей

Используйте текущие версии сканирующего механизма и DAT-файлов для обнаружения и удаления.

Файл shimgapi.dll, внедренный в EXPLORER.EXE, исполняется только в том случае, если система перезагружается после инфицирования. В этой ситуации требуется перезагрузка и повторное сканирование для удаления этой DLL из системы.

Stinger

Утилита Stinger (версия 1.97) позволяет обнаруживать и удалять вирус. Она доступна на сайте Network Associates (http://vil.nai.com/vil/stinger). Не забудьте выполнить перезагрузку системы после завершения работы утилиты.

McAfee Security Desktop Firewall

Для предотвращения возможного удаленного доступа к компьютеру пользователям McAfee Desktop Firewall рекомендуется блокировать входящий трафик по порту TCP 3127.

Возможные названия

• Novarg (F-Secure)
• W32.Novarg.A@mm (Symantec)
• Win32.Mydoom.A (CA)
• Win32/Shimg (CA)
• WORM_MIMAIL.R (Trend)