С прошлой проверки почты прошло менее 9 часов. Вот что я получил только что:
Мдя...
I-Worm.Mydoom.a
Вирус-червь. Также известен как Novarg.
Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB.
Червь активизируется, только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайт www.sco.com 1 февраля 2004 года.
Часть тела вируса зашифрована. Инсталляция
После запуска червь запускает Windows Notepad в котором демонстрирует произвольный набор символов:
При инсталляции червь копирует себя с именем "taskmon.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:
В отличие от одноименного системного файла Windows, файл червя всегда имеет размер 22KB. Червь создает в системном каталоге Windows файл "shimgapi.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:
Таким образом, данная DLL запускается как дочерний процесс "Explorer.exe". Также червь создает файл "Message" во временном каталоге системы (обычно, %windir emp). Данный файл содержит произвольный набор символов.
Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:
Для этой же цели, в процессе работы, червь создает уникальный идентификатор "SwebSipcSmtxSO". Рассылка писем
При рассылке зараженных писем червь использует собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к почтовому серверу получателя. Для обнаружения адресов электронной почты, по которым будет вестись рассылка зараженных писем, червь ищет на диске файлы, имеющие расширения:
asp
dbx
tbb
htm
sht
php
adb
pl
wab
txt
и собирает найденные в них адреса электронной почты. При этом червем игнорируются адреса, оканчивающиеся на ".edu". Содержание зараженных писем
Адрес отправителя:
[произвольный]
Тема письма выбирается произвольно из списка:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Тело письма выбирается произвольно из списка:
test
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
The message contains Unicode characters and has been sent
as a binary attachment.
Mail transaction failed. Partial message is available.
Имя вложения может иметь либо одно слово, либо быть составленным из двух отдельных, соединенных символом "_":
document
readme
doc
text
file
data
test
message
body
Вложения могут иметь одно из расширений:
pif
scr
exe
cmd
bat
Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения. Размножение через P2P
Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
с расширением из списка:
bat
exe
scr
pif Прочее
"Shimgapi.dll" представляет из себя прокси-сервер. Червь открывает на зараженной машине TCP порт из диапазона от 3127 до 3198 для приема команд. Функционал "бэкдора" позволяет злоумышленнику получить полный доступ к системе. Кроме этого, "бэкдор" может загружать из интернета и запускать на исполнение произвольные файлы. В черве заложена функция организации DoS-атаки на сайт www.sco.com. Эта функция должна быть активирована 1 февраля 2004 года и будет работать вплоть до 12 февраля 2004 года. Червь каждую миллисекунду отсылает на 80 порт атакуемого сайта запрос GET, что в условиях глобальной эпидемии может привести к полному отключению данного сайта.
как у тебя рука поднялась такую прелесть убивать. благородное дело же творил. кстати sco еще живы, им помогли пережить период банкротства и сейчас они снова собирают информацию дял того чтобы снова подать иск на novell и парочку других компаний напрямую или коссвенно связанных с *nix. не удивлюсь если история пойдет по второму кругу =).
а исключение edu среди адресатов, ну это же чертвовски мило и с этической точки зрения корректно.
WELCOMETOHELL@cpe-67-240-41-65.nycap.res.rr.com
Данный пост на самом деле помог мне принять очень важное для себя решение. За это автору отдельное спасибо! С нетерпением жду от Вас новых постов!
Григорий@218.90.161.189
Я бы еще кое-что добавил конечно, но в общем-то по сути сказано все.
Станислав@c-66-177-147-66.hsd1.fl.comcast.net
Текст оставил сложное, неоднозначное, впечатление… Даже не знаю, что сказать… Нужно время, чтобы обдумать прочитанное.