Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Win32.HLLM.MyDoom.33808

(Trojan:Win32/Malagent, Win32/Mydoom.N, Parser error, WORM_MYDOOM.CA, Win32.Mydoom.L@mm, Win32/Malagent, Email-Worm.Win32.Mydoom.m, WORM_MYDOOM.GEN, Win32/MyDoom.N.ZIP!Worm, Email-Worm.Win32.Mydoom.l, TR/Agent.Blkhl.dam, I-Worm/Mydoom.DG, I-Worm/Mydoom.N, WORM_MYDOOM.BN, Win32/MyDoom.N!Worm, W32/Mydoom.M@mm, OScope.Worm.115, W32/Mydoom.n@MM)

Добавлен в вирусную базу Dr.Web: 2004-07-19

Описание добавлено:

Тип вируса: Почтовый червь массовой рассылки

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: 22 020 байт

Упакован: UPX

Техническая информация

  • Будучи запущенным неосторожным пользователем, червь копирует себя в каталог %Windir% под именем lsass.exe
  • Для обеспечения своего запуска при каждой загрузке Windows прописывается в реестре в секции автозагрузки: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "Traybar" = "%Windir%\lsass.exe"
  • %Windir% - каталог с установленной Windows.

  • Для своего распространения использует собственную реализацию SMTP-протокола.
  • Создаёт свои копии в папках, которые содержат подстроки

    incoming
    ftproot
    download
    shar

    в виде файлов с такими именами:

    index
    Kazaa Lite
    Harry Potter
    ICQ 4 Lite
    WinRAR.v.3.2.and.key
    Winamp 5.0 (en) Crack
    Winamp 5.0 (en) exe

  • Этим файлам присваиваются расширения:

    .exe
    .com
    .ShareReactor.com
    .scr

  • Не рассылает свои многочисленные копии по адресам, которые содержат следующие подстроки:

    sales
    james
    john
    spam
    abus
    master
    sample
    accoun
    privacycertific
    bug
    listserv
    submit
    ntivi
    suppor
    crosoft
    admi
    page
    the.bat
    gold-certs
    ca
    feste
    not
    help
    service
    no
    soft
    contact
    site
    rating
    me
    you
    your
    someone
    anyone
    nothing
    nobody
    noone
    info
    root
    winzip
    rarsoft
    sf.net
    sourceforge
    ripe.
    arin.
    google
    gnu.
    gmail
    seclist
    secur
    math
    labs
    bar.
    foo.
    .mil
    gov.
    .gov
    update
    uslis
    domain
    example
    ophos
    spersk
    panda
    hotmail
    msn.
    microsoft
    sarc.
    syma
    avp
  • Тема сообщения выбирается из списка, указанного ниже. Чаще всего это сообщение о том, что отправленная корреспонденция не была доставлена, и пользователю предлагается ознакомиться с подробностями.

    say helo to my litl friend
    click me baby, one more time
    hello
    hi
    error
    status
    test
    report
    delivery failed
    Message could not be delivered
    Mail System Error - Returned Mail
    Delivery reports about your e-mail
    Returned mail: see transcript for details
    Returned mail: Data format error
  • Текст сообщения может быть следующим:

  • The original message was included as attachment
  • Message could not be delivered
  • This Message was undeliverable due to the following reason:

    Your message was not delivered because the destination computer was not reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura- tion parameters.

    Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.

    Your message was not delivered within (число) days: Host (имя хоста подставляется из адреса) is not responding.

    The following recipients did not receive this message: (подставлено из адреса)

    Please reply to postmaster (имя хоста подставлено из адреса) if you feel this message to be in error.

  • The original message was received at (указано время) from (адрес сообщения) ----- The following addresses had permanent fatal errors -----
    (Адрес получателя)
    ----- Transcript of session follows -----
    while talking to [имя хоста из поля Кому адреса].:
    >>> MAIL From:[Адрес, с которого пришло сообщение]
    <<< 501 [имя хоста из поля От]... Refused

  • The original message was received at (указано время)
    from [Адрес из поля От]
  • ----- The following addresses had permanent fatal errors -----

  • В поле От может быть такой текст:

    Postmaster
    Mail Administrator
    Automatic Email Delivery Software
    Post Office
    The Post Office
    Bounced mail
    Returned mail
    MAILER-DAEMON
    Mail Delivery Subsystem

    или подставляться любой иной почтовый адрес, найденный в поражённой системе.

  • Для своего дальнейшего распространения ищет адреса, просматривая такие файлы:

    .doc
    .txt
    .htm
    .html

  • Имя вложения выбирается из списка:

    blank
    attachment
    document
    file
    letter
    mail
    message
    readme
    text
    transcript

    которому присваивается одно из расширений:

    .bat
    .cmd
    .com
    .exe
    .pif
    .scr
    .zip

  • Червь содержит backdoor-процедуру: открывает и слушает порт TCP 1042.
  • Рекомендации по восстановлению системы

    1. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
    2. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить".
    3. Восстановить реестр из резервной копии.

    Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом:
    Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory).