В отличии от своего предшественника червь "Mydoom.B" в период с 1 по 12 февраля пороведет DDoS-атаку не только на сайт www.sco.com, но и сайт www.microsoft.com.
Если учесть, что на программном обеспечении Microsoft работает большинство компьютеров в мире, атака 1-12 февраля может иметь, без преувеличения, катастрофические последствия.
"Лаборатория Касперского" уже разместила в своей Вирусной Энциклопедии описание новой еще более опасной версии нашумевшего вируса-червя.
Он распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa.
Червь является приложением Windows (PE EXE-файл), имеет размер 29184 байта, упакован UPX и PE-Patch. Размер распакованного файла около 49KB.
Червь активизируется только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайты www.microsoft.com и www.sco.com.
Часть тела вируса зашифрована.
В распакованном файле имеется текстовая строка: (sync-1.01; andy; I'm just doing my job, nothing personal, sorry)
После старта червь запускает Windows Notepad в котором демонстрирует произвольный набор символов.
При инсталляции червь копирует себя с именем "explorer.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Explorer" = "%System%explorer.exe"
Червь создает в системном каталоге Windows файл "ctfmon.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:
[HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32]
"Apartment" = "%SysDir%ctfmon.dll"
Таким образом данная DLL будет запускаться как дочерний процесс Explorer.exe.
Также червь создает файл "Body" во временном каталоге системы (обычно, %windir% emp). Данный файл содержит произвольный набор символов.
Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]
[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]
Для этой же цели, в процессе работы, червь создает уникальный идентификатор "sync-v1.01__ipcmtx0".
Функция рассылки писем идентична примененной в варианте Mydoom.a, с небольшими изменениями.
Тело письма выбирается произвольно из списка:
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment
sendmail daemon reported: Error #804 occured during SMTP session.
Partial message has been received
The message contains Unicode characters and
has been sent asa binary attachment.
The message contains MIME-encoded graphics and
has been sent as a binary attachment
Mail transaction failed. Partial message is available.
Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.
Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:
NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final
с расширением из списка:
bat
exe
scr
pif
Эксперты проанализировали рекомендованную Илоном Маском операцию против боли в спине
Илон Маск рассказал о своем опыте с операцией по замене позвоночного диска, утверждая, что это помогло ему избавиться от боли в спине. Однако эксперты указывают на отсутствие доказательств эффективности такой операции.
Запад считает, что помощь США никак не поможет положению ВСУ
Максимум, что можно сделать – только слегка укрепить ресурсы Киева.
Иерея Сафронова, проведшего панихиду по Навальному, отстранили на три года
Патриарх Московский и всея Руси Кирилл отстранил на три года священника Димитрия Сафронова, который проводил панихиду по оппозиционеру Алексею Навальному.
Онколог Басанов выделил неочевидные симптомы рака лимфомы
Онколог Руслан Басанов отметил, что лимфома, разновидность рака иммунной системы, чаще поражает молодых людей в возрасте 16-34 лет.