Nová varianta úspěšného červa Mydoom.B

Ještě nedozněla epidemie viru Mydoom.A alias Novarg.A a už je tu druhá varianta.

Odborníci se obávají, že jej autor viru může šířit prostřednictvím 600 tisíc PC nakažených verzí první.

Mydoom.A je na stránkách MessageLabs první nejen ve statistice denní ale i měsíční přestože je na světě teprve 3 dny! Ve statistice „všech dob“ již obsadil 6 místo (3 miliony ks) a odhaduji, že předběhne i Klez.H (8 milionů) a dostane se až na místo druhé, hned za „nesmrtelný“ Sobig.F (zachyceno 33 milionů ks).

Charakteristiky Mydoom.B jsou velmi podobné verzi A. Šíří se elektronickou poštou a prostřednictvím sdílení souborů sítě Kazaa.

Adresa odesilatele je falešná.

Adresu příjemce získává červ z adresáře Windows (Address Book) a ze souborů s příponami WAB, TXT, HTM, SHT, PHP, ASP, DBX, TBB, ADB a PL uložených na disku infikovaného systému.

Předmět může obsahovat některý z níže uvedených textů nebo text zcela náhodný:

  • Mail Transaction Failed
  • Unable to deliver the message
  • Status
  • Delivery Error
  • Mail Delivery System
  • hello
  • hi
  • Error
  • Server Report
  • Returned mail

Text zprávy obsahuje jedno z těchto falešných hlášení:

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment

sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received

The message contains Unicode characters and has been sent asa binary attachment.

The message contains MIME-encoded graphics and has been sent as a binary attachment

Mail transaction failed. Partial message is available.

Krom toho může být text generován zcela náhodně. Stejně tak je generován i název přílohy.

Komprimovaná velikost samotného červa je 29 184 B, po dekomprimaci je to 49 kB. V dekomprimovaném tvaru lze nalézt text, v němž se tvůrce omlouvá:

(sync-1.01; andy; I`m just doing my job, nothing personal, sorry)

Stejně jako u jeho staršího bratra se spustí jen s pomocí zvědavého uživatele. Po spuštění uloží svou kopii do systémového adresáře Windows pod názvem explorer.exe a upraví obsah registru tak, aby i při příštím spuštění operačního systému byl sám spuštěn. Dále vytvoří ve stejné složce soubor ctfmon.dll, který obsahuje funkce zadních vrátek pro vzdálené ovládání napadeného systému přes otevřený TCP port 1080.

Je-li na infikovaném počítači instalován klient Kazaa uloží do složky pro sdílení své kopie pod lákavými názvy (s příponami bat, exe, pif a scr):

  • NessusScan_pro
  • attackXP-1.26
  • winamp5
  • MS04-01_hotfix
  • zapSetup_40_148
  • BlackIce_Firewall_Enterpriseactivation_crack
  • xsharez_scanner
  • icq2004-final

V systému také nahradí obsah standardního souboru hosts tak, aby uživateli znemožnil přístup k webovým stránkám světových antivirových firem a společností zabývajících se počítačovou bezpečností. České a slovenské firmy ignoruje. Kromě toho znepřístupňuje i některé adresy webu společnosti Microsoft a pár nejznámějších reklamních systémů.


0.0.0.0        engine.awaps.net awaps.net www.awaps.net ad.doubleclick.net
0.0.0.0        spd.atdmt.com atdmt.com click.atdmt.com clicks.atdmt.com
0.0.0.0        media.fastclick.net fastclick.net www.fastclick.net ad.fastclick.net
0.0.0.0        ads.fastclick.net banner.fastclick.net banners.fastclick.net
0.0.0.0        www.sophos.com sophos.com ftp.sophos.com f-secure.com www.f-secure.com
0.0.0.0        ftp.f-secure.com securityresponse.symantec.com
0.0.0.0        www.symantec.com symantec.com service1.symantec.com
0.0.0.0        liveupdate.symantec.com update.symantec.com updates.symantec.com
0.0.0.0        support.microsoft.com downloads.microsoft.com
0.0.0.0        download.microsoft.com windowsupdate.microsoft.com
0.0.0.0        office.microsoft.com msdn.microsoft.com go.microsoft.com
0.0.0.0        nai.com www.nai.com vil.nai.com secure.nai.com www.networkassociates.com
0.0.0.0        networkassociates.com avp.ru www.avp.ru www.kaspersky.ru
0.0.0.0        www.viruslist.ru viruslist.ru avp.ch www.avp.ch www.avp.com
0.0.0.0        avp.com us.mcafee.com mcafee.com www.mcafee.com dispatch.mcafee.com
0.0.0.0        download.mcafee.com mast.mcafee.com www.trendmicro.com
0.0.0.0        www3.ca.com ca.com www.ca.com www.my-etrust.com
0.0.0.0        my-etrust.com ar.atwola.com phx.corporate-ir.net

Může tak být znemožněna i on-line aktualizace dotčených antivirových systémů.

Cílem DDoS útoků je kromě domovské stránky firmy SCO i hlavní stránka společnosti Microsoft. Útok na SCO započne 1. února 2004 v 16:09:18 (UTC), na Microsoft pak 3.února v 13:09:18 hod UTC.

Červ se přestává šířit 1. března 2004 ve 03:18:42 (UTC). Zadní vrátka však zůstanou v infikovaných systémech otevřena.

Určitě si přečtěte

Články odjinud