В отличии от своего предшественника червь "Mydoom.B" в период с 1 по 12 февраля пороведет DDoS-атаку не только на сайт www.sco.com, но и сайт www.microsoft.com.
Если учесть, что на программном обеспечении Microsoft работает большинство компьютеров в мире, атака 1-12 февраля может иметь, без преувеличения, катастрофические последствия.
"Лаборатория Касперского" уже разместила в своей Вирусной Энциклопедии описание новой еще более опасной версии нашумевшего вируса-червя.
Он распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa.
Червь является приложением Windows (PE EXE-файл), имеет размер 29184 байта, упакован UPX и PE-Patch. Размер распакованного файла около 49KB.
Червь активизируется только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайты www.microsoft.com и www.sco.com.
Часть тела вируса зашифрована.
В распакованном файле имеется текстовая строка: (sync-1.01; andy; I'm just doing my job, nothing personal, sorry)
После старта червь запускает Windows Notepad в котором демонстрирует произвольный набор символов.
При инсталляции червь копирует себя с именем "explorer.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Explorer" = "%System%explorer.exe"
Червь создает в системном каталоге Windows файл "ctfmon.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:
[HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32]
"Apartment" = "%SysDir%ctfmon.dll"
Таким образом данная DLL будет запускаться как дочерний процесс Explorer.exe.
Также червь создает файл "Body" во временном каталоге системы (обычно, %windir% emp). Данный файл содержит произвольный набор символов.
Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]
[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]
Для этой же цели, в процессе работы, червь создает уникальный идентификатор "sync-v1.01__ipcmtx0".
Функция рассылки писем идентична примененной в варианте Mydoom.a, с небольшими изменениями.
Тело письма выбирается произвольно из списка:
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment
sendmail daemon reported: Error #804 occured during SMTP session.
Partial message has been received
The message contains Unicode characters and
has been sent asa binary attachment.
The message contains MIME-encoded graphics and
has been sent as a binary attachment
Mail transaction failed. Partial message is available.
Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.
Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:
NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final
с расширением из списка:
bat
exe
scr
pif
Церемония вручения медалей блокадникам Ленинграда прошла в генконсульстве РФ в Нью-Йорке
Изабелла Светлосанова, которой на момент начала блокады было четыре года, выразила благодарность дипломатам за поддержку и осудила возрождение фашизма.
Глобальная экономика оказалась устойчивее, чем предполагалось, сказал представитель МВФ
Мухаммед бен Абдалла аль-Джадаан подчеркнул, что мировая экономика избежала более сложной ситуации, чем ожидалось ранее.
Города Северо-Запада посетит турбизнес Петербурга в рамках роуд-шоу "Добро пожаловать в Санкт-Петербург!" посетит
Около 35% гостей Северной столицы совмещают путешествие в Петербург с поездками по маршрутам "Серебряного ожерелья" Северо-Запада, а в прошлом году к ним добавились два новых национальных туристских маршрута.
Грозный выбрали местом проведения Кавказского инвестиционного форума
Форум призван способствовать развитию СКФО, привлечению инвестиций. Проведение форума откроет перед нами широкий спектр возможностей и поможет реализовать амбициозные планы.