Email-Worm.Win32.MyDoom.bj

Материал из Total Malware Info

Email-Worm.Win32.MyDoom.bj Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Является приложением Windows (PE-EXE файл). Имеет размер 46080 байт. Упакован при помощи UPX, распакованный размер 114 к.б.

Содержание 1 Инсталляция 2 Рассылка писем 3 Деструктивная активность 4 Рекомендации по удалению

Инсталляция

Извлекает из своего тела Rootkit драйвер:

%System%\drivers\protect.sys

Данный файл имеет размер 18944 байта и детектируется Антивирусом Касперского как Rootkit.Win32.Agent.jj Для автоматического запуска при следующем старте системы червь создает системную службу с именем “System Bus Extender”, которая запускает исполняемый файл червя при каждой последующей загрузке Windows

Рассылка писем

При рассылке зараженных писем червь использует собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к почтовому серверу получателя.

Для сбора адресов электронной почты, по которым будет производиться рассылка зараженных писем, червь ищет на диске файлы, имеющие следующие расширения:

asp
dbx
tbb
htm
sht
php
adb
pl
wab
txt

и собирает найденные в них адреса электронной почты. При этом червем игнорируются адреса, содержащие строки:

accoun
certific
listserv
ntivi
support
icrosoft
admin
page
the.bat
gold-certs
ca
feste
submit
not
help
service
privacy
somebody
no
soft
contact
site
rating
bugs
me
you
your
someone
anyone
nothing
nobody
noone
webmaster
postmaster
samples
info
root
mozilla
utgers.ed
tanford.e
pgp
acketst
secur
isc.o
isi.e
ripe.
arin.
sendmail
rfc-ed
ietf
iana
usenet
fido
linux
kernel
google
ibm.com
fsf.
Gnu
mit.e
bsd
math
unix
berkeley
foo.
.mil
gov.
.gov
Ruslis
Nodomai
Mydomai
Example
inpris
borlan
sopho
panda
hotmail
msn.
icrosof
syma
avp
-._!@
-._!
Spm
fcnz
www
abuse

Тема письма выбирается из списка:

Error
hello
hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Test

Текст отправляемых писем содержит одну из строк:

test
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Имя файла-вложения выбирается из списка:

body
data
doc
document
file
message
readme
test
text

Вложения могут иметь одно из расширений:

doc
htm
tmp

после которого следует второе расширение, которое может быть одним из следующих:

.pif
.scr
.cmd
.bat
.exe

Деструктивная активность

Червь запускает на случайном порте SMTP прокси сервер, который позволяет злоумышленникам использовать зараженный компьютер как часть зомби-сети для рассылки спама. Порт и адрес зараженного компьютера передаются в HTTP запросе на следующий адрес:

http://69.4****.191/hgni/emrecv.php

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи <Диспетчера задач> завершить вредоносный процесс.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить службу “System Bus Extender” системного реестра:
4. Удалить файл:

%System%\drivers\protect.sys