Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Win32.HLLM.MyDoom.44544

Добавлен в вирусную базу Dr.Web: 2004-04-18

Описание добавлено:

Описание

Win32.HLLM.MyDoom.44544 - почтовый червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Упакован упаковщиком UPX. Размер червя в упакованном виде 44 544 байт.

Запуск вируса

С целью обеспечения запуска своей копии в системе червь вносит изменения в ключ реестра
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
"SVHOST" = "%SysDir%\SVHOST.EXE"

Распространение

Червь массово распространяется по электронной почте, используя свой механизм реализации SMTP-протокола. Адреса для рассылки червь извлекает из файлов со следующими расширениями:

    adb
    asp
    dbx
    htm
    php
    sht
    tbb
    wab       
Почтовое сообщение, инфицированное червем, может выглядеть следующим образом:
    Отправитель: содержит имя собственное, написанное с маленькой буквы, например, alex, john или sam
    Тема сообщения:
        
        test 
        hi 
        hello 
        Mail Delivery System 
        Mail Transaction Failed 
        Server Report 
        Status 
        Error
               
    Текст сообщения:
        test
        Mail transaction failed. Partial message is available. 
        The message contains Unicode characters and has been sent as a binary attachment. 
        The message cannot be represented in 7-bit ASCII encoding 
    and has been sent as a binary attachment.
    Вложение: может иметь два расширения, первое из которых .doc, .htm или .txt, а второе .bat, .cmd, .exe, .pif , .scr или .zip.
    Название для вложения выбирается из следующего списка:
        body 
        data 
        doc 
        document 
        file 
        message 
        readme 
        test 
        text
        
                    

Действия

Будучи активированным, червь запускает NotePad, и на экране открывается файл Message, создаваемый червем в директории Temp и состоящий из бессмысленного набора символов.
В это время червь копирует себя в системную директорию WindowsWindows 9x и Windows ME это C:\Windows\System, в Windows NT/2000 это C:\WINNT\System32, в Windows XP это C:\Windows\System32) в виде файла SVHOST.EXE.

Червь удаляет данные TaskMon из реестровой записи:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\