Идущий под именем 'Novarg' или 'MyDoom', последний массовый саморассылающийся червь получил уже такое же широкое распространение, как и вирус SoBig, согласно данным производителям антивирусных продуктов.
Как заявляет корпорация Sym***ec, целью вируса является атака на сайт SCO Group's. На компьютере под управлением Windows, червь запускает 64 процесса, которые атакуют www.sco.com с запросом GET. Вирус должен активироваться между 1 и 12 февраля.
Червь также копирует себя в директорию для скачивания пиринговой сети KaZaA's, маскируясь под пятый winamp и финальную версию icq 2004-го года.
Пользователи Windows должны проверить свой компьютер на наличие файла shimgapi.dll в системной директории.


Источник: http://www.theregister.co.uk/


ВТОРНИК, 27.01.2004, 14:52
Лев Крыленков

ViktorB:
Идущий под именем 'Novarg' или 'MyDoom'
во-во.. вот что я сегодня получил :

Уважаемый Отправитель hempsmoke@yandex.ru !

Сообщение, отправленное с Вашего адреса (возможно вирусом
с другого компьютера) по адресу(ам) ****
инфицировано и не было доставлено.

--- Dr.Web report ---
Найден(ы) следующий(е) вирус(ы):
infected with Win32.HLLM.MyDoom.32768

Детализированный отчет Dr.Web:
drweb.tmp.DMAWpF/[text/plain] - Ok
drweb.tmp.DMAWpF/data.zip - archive ZIP
drweb.tmp.DMAWpF/data.zip/data.exe infected with Win32.HLLM.MyDoom.32768

Статистика сканирования Dr.Web:
Infected : 1

--- Dr.Web report ---

Ваше сообщение сохранено в карантине под именем:
drweb.quar***ine.PFqCDV

Чтобы получить это сообщение, обратитесь к администратору
по адресу <postmaster>, указав имя, под которым
Ваше сообщение сохранено в карантине.

---
Антивирусная защита почтовых серверов
Dr.Web(R) Daemon for Unix (разработан в Daniloff's Labs)
(http://www.drweb.ru, http://www.DialogNauka.ru)




Добавлено через 1 минуту:
пришло еще несколько подобных сообщений , но я ничего подобного не посылал... :mad:

hempsmoke, у меня примерно тоже самое. Как на зло ниодного антивиря под руками нет.

Да уже пол Испании заразилась :)

Тебе, думаю, нужно почиститься. Раз уж докторВеб его пределил, то установи его пусть он у тебя всю заразу поубивает, а заодно и систему прочисти от всякого хлама, особенно интернет темп файлов.
ИМХО так сказать :)

Appz_newS
ты их руками вылавливаешь,как это я мало понимать:confused:

I-Worm.Novarg (Mydoom)
[ 27.01.2004 08:21, обновлено 27.01.2004 12:57, GMT +03:00, Москва ]
Опасность : высокая

Служба круглосуточного мониторинга "Лаборатории Касперского" сообщает о зафиксированом ночью 27 января 2004 года начале крупномасштабной эпидемии почтового червя Novarg, также известного как Mydoom.

В настоящий момент всеми антивирусными компаниями данному червю присвоен максимальный уровень опасности. Количество зараженных писем в интернете исчисляется несколькими миллионами экземпляров.

Подробный анализ кода вируса опубликован в "Вирусной энциклопедии".

Процедуры обнаружения и удаления данного червя уже добавлены в антивирусные базы "Антивируса Касперского".

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает об обнаружении нового опасного интернет-червя "Novarg" (также известный как "Mydoom"). Всего за несколько часов существования данная вредоносная программа успела вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Этот инцидент является крупнейшим в этом году и имеет все шансы побить рекорды распространения в 2003 г.

Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F.

Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России.

Профилактика, диагностика и защита

"Novarg" распространяется по интернету двумя способами: через электронную почту и файлообменные сети KaZaA.

Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного выявления зараженных писем.



В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif).

Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения.

Сразу же после запуска "Novarg" открывает текстовый редактор Notepad и показывает произвольный набор символов.



Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера.

Затем "Novarg" начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.

"Novarg" имеет весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер - модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы.
Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др. В-третьих, в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.

"Опасность сращивания вирусных и спам-технологий и формирования объединенной, мотивированной сети кибер-преступников становится реальностью. За первые два дня этой недели мы обнаружили сразу две вредоносные программы, подтвердившие эту тенденцию, - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского", - Уже в ближайшем будущем эта проблема может означать новый этап в компьютерной вирусологии, который ознаменуется еще более серьезными и частыми эпидемиями".

Процедуры защиты от "Novarg" уже добавлены в базу данных Антивируса Касперского®.

Более подробная информация о данной вредоносной программе доступна в Вирусной Энциклопедии Касперского.
_____________________________________________________________

Win32/Mydoom.A is a worm spreading in the form of a file in the attachment of an e-mail and the Kazaa network.

Upon activation the worm performs the following actions:

The worm registers itself in the following registries:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\C omDlg32\Version

It creates a mutex SwebSipcSmtxS0, which ensures that there is only a single copy of the worm running on the infected computer.

It opens the Notepad (NOTEPAD.EXE) with a random text in it.

In the MS Windows system directory creates a file named shimgapi.dll of the size 4096 bytes and using the LoadLibrary function it loads it into the main memory. This program activates a backdoor utility listening on the port number 3127 and registers itself in the following register key:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32

This key is used by default as a pointer to the file named Webcheck.dll, which is a COM interface for web monitoring. By modifying of this key the worm makes sure that the shimgapi.dll file is loaded into the address location of explorer.exe.

In the next step the worm checks the system time of the infected computer and if is past Feb 12th 2004 2:28:57 it quits.

Otherwise it copies itself into the MS Windows system directory as taskmon.exe and adds a new value in the following registry keys:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
or
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
The new value is the following: "TaskMon" = %SysDir%\taskmon.exe

By which the worm makes sure it will be launched each time the computer boots.

If the system time is past February 1st 2004 16:09:18 it launches a Denial of Service (DoS) attack on www.sco.com.

If the infected computer has the peer-to-peer client Kazaa installed the worm copies itself into the Kazaa shared directory with one of the following names:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
with one of the extensions .bat, .exe, .scr alebo .pif.

In the next step the worm acquires addresses for its spreading from files with the following extensions:

.txt
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab


The sender address is altered. The subject line and the text in the body of the e-mail message changes as follows:


test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error


The body of the e-mail message contains one of the following texts:

test
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.


The attachment has one of the following file names or a random file name:

document
readme
doc
text
file
data
test
message
body


With one of the following extensions:

pif
scr
exe
cmd
bat
zip


The worm makes it appear that the extension is one of the following:

.htm
.txt
.doc


The detection of Win32/MyDoom.A using sample is added since version 1.608.

Ох и задолбал же этот червь! За сутки 2000 писем с вирусом! В последний раз удалил всё - ни глядя... Эта напасть хуже спама. - NNM
вот так действительно зараза :eek:

AVP и NOD32 его уже ловят обновляйтесь и ставьте мониторинг почты.

Appz_newS
то та Nod так шустренько выпустил обновку, с 609 на 611 и непрошло з часов
вот ещё сообщение

ТОЛЬКО ЧТО мне стало известно о появлении НОВОГО ВИРУСА под названием "MyDoom (или Novarg)"
... Все специалисты уже признали его очень опасным...
дело было так: проверяю я значит сегодня мЫльЦЕ, а тут бах: на одном из моих почтовых ящиков 26 новых писем и все содержат разные заголовки но одинаковый текст (практическе все). Заголовки были самые, что ни наесть разнообразные, типа: Hello, HELLO, HI, STATUS, test, TESTING. Непорядок подумал я... Через 3 часа снова проверил - опять 8 новых подобных писем. А все оказывается вот в чем:
"Эксперты по компьютерной безопасности в понедельник заявили о том, что в сети Интернет быстро распространяется новый почтовый "червь". Вирус MyDoom (или Novarg) рассылается в присоединенных файлах с расширением .exe, .scr, .zip или .pif. В заголовке письма часто стоят слова "test" или "status."
этот вирус обязательно доберется и до Вас (если уже не добрался!) ... Будьте очень осторожны: 1. обновите Каспера (у кого он стоит :) 2. не проверяйте почту или в крайнем случае даже не кликайте по письму от незнакомЦев (да еще и с вышеперечисленными темами! 3. НЕ В КОЕМ СЛУЧАЕ НЕ ОТКРЫВАЙТЕ ПРИКРЕПЛЕННЫЙ К ПИСЬМУ ФАЙЛ (если конечно он автоматич. не открылся)
Мир Вам Братья :eek:

улеееееееттттт!!!! давно такого не было!!!
что самое интересное, я ничего не запускал и не загружал (!) анти вирь ничего не видит, а пришло еще два письма о том, что письмл не доставлено вследствие тела вируса в нем! опять же посылал я !

интерестно вирус всем прописывает получателя и отпровителя в олном лице:confused:

Rollers
в полном или в одно? если второе, то нет... мне указал кучу емаилов, куда я послал вирусы! (еще раз повторюсь 0 сканы ничего не нашли :()

hempsmoke
похоже он рассылает себя от твоего имени, это его манера:eek:

Rollers
естессно, я же писал выше.. :)

Уважаемый Отправитель hempsmoke@yandex.ru !

Сообщение, отправленное с Вашего адреса (возможно вирусом
с другого компьютера) по адресу(ам) ****
инфицировано и не было доставлено.

ВСЕМ!!!
Так что? Вы и тута будете заливать про вирусы? Вот блин: в Безопасности начинают обсуждать каждый новый вирь... и туту ещё...:mad:
НУ НЕТ В НЁМ НИЧЕГО НОВОГО И ИНТЕРЕСНОГО!!!! Зачем тада попусту тему открывать? Или мы всей толпой будем слушать что там Каспер нам толкает про этого червя?