Новый червь "убийца Microsoft" - особые приметы

В отличии от своего предшественника червь "Mydoom.B" в период с 1 по 12 февраля пороведет DDoS-атаку не только на сайт www.sco.com, но и сайт www.microsoft.com.

Если учесть, что на программном обеспечении Microsoft работает большинство компьютеров в мире, атака 1-12 февраля может иметь, без преувеличения, катастрофические последствия.

"Лаборатория Касперского" уже разместила в своей Вирусной Энциклопедии описание новой еще более опасной версии нашумевшего вируса-червя.

Он распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa.

Червь является приложением Windows (PE EXE-файл), имеет размер 29184 байта, упакован UPX и PE-Patch. Размер распакованного файла около 49KB.

Червь активизируется только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайты www.microsoft.com и www.sco.com.

Часть тела вируса зашифрована.

В распакованном файле имеется текстовая строка: (sync-1.01; andy; I'm just doing my job, nothing personal, sorry)

После старта червь запускает Windows Notepad в котором демонстрирует произвольный набор символов.

При инсталляции червь копирует себя с именем "explorer.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]

"Explorer" = "%System%explorer.exe"

Червь создает в системном каталоге Windows файл "ctfmon.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:

[HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32]

"Apartment" = "%SysDir%ctfmon.dll"

Таким образом данная DLL будет запускаться как дочерний процесс Explorer.exe.

Также червь создает файл "Body" во временном каталоге системы (обычно, %windir% emp). Данный файл содержит произвольный набор символов.

Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]

Для этой же цели, в процессе работы, червь создает уникальный идентификатор "sync-v1.01__ipcmtx0".

Функция рассылки писем идентична примененной в варианте Mydoom.a, с небольшими изменениями.

Тело письма выбирается произвольно из списка:

The message cannot be represented in 7-bit ASCII encoding

and has been sent as a binary attachment

sendmail daemon reported: Error #804 occured during SMTP session.

Partial message has been received

The message contains Unicode characters and

has been sent asa binary attachment.

The message contains MIME-encoded graphics and

has been sent as a binary attachment

Mail transaction failed. Partial message is available.

Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.

Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:

NessusScan_pro

attackXP-1.26

winamp5

MS04-01_hotfix

zapSetup_40_148

BlackIce_Firewall_Enterpriseactivation_crack

xsharez_scanner

icq2004-final

с расширением из списка:

bat

exe

scr

pif