I-Worm.Novarg (Mydoom)
[ 27.01.2004 08:21, обновлено 27.01.2004 12:57, GMT +03:00, Москва ]
Опасность : высокая
Служба круглосуточного мониторинга "Лаборатории Касперского" сообщает о зафиксированом ночью 27 января 2004 года начале крупномасштабной эпидемии почтового червя Novarg, также известного как Mydoom.
В настоящий момент всеми антивирусными компаниями данному червю присвоен максимальный уровень опасности. Количество зараженных писем в интернете исчисляется несколькими миллионами экземпляров.
Подробный анализ кода вируса опубликован в "Вирусной энциклопедии".
Процедуры обнаружения и удаления данного червя уже добавлены в антивирусные базы "Антивируса Касперского".
"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает об обнаружении нового опасного интернет-червя "Novarg" (также известный как "Mydoom"). Всего за несколько часов существования данная вредоносная программа успела вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Этот инцидент является крупнейшим в этом году и имеет все шансы побить рекорды распространения в 2003 г.
Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F.
Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России.
Профилактика, диагностика и защита
"Novarg" распространяется по интернету двумя способами: через электронную почту и файлообменные сети KaZaA.
Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного выявления зараженных писем.
В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif).
Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения.
Сразу же после запуска "Novarg" открывает текстовый редактор Notepad и показывает произвольный набор символов.
Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера.
Затем "Novarg" начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.
"Novarg" имеет весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер - модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы.
Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др. В-третьих, в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.
"Опасность сращивания вирусных и спам-технологий и формирования объединенной, мотивированной сети кибер-преступников становится реальностью. За первые два дня этой недели мы обнаружили сразу две вредоносные программы, подтвердившие эту тенденцию, - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского", - Уже в ближайшем будущем эта проблема может означать новый этап в компьютерной вирусологии, который ознаменуется еще более серьезными и частыми эпидемиями".
Процедуры защиты от "Novarg" уже добавлены в базу данных Антивируса Касперского®.
Более подробная информация о данной вредоносной программе доступна в Вирусной Энциклопедии Касперского.
_____________________________________________________________
Win32/Mydoom.A is a worm spreading in the form of a file in the attachment of an e-mail and the Kazaa network.
Upon activation the worm performs the following actions:
The worm registers itself in the following registries:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\C omDlg32\Version
It creates a mutex SwebSipcSmtxS0, which ensures that there is only a single copy of the worm running on the infected computer.
It opens the Notepad (NOTEPAD.EXE) with a random text in it.
In the MS Windows system directory creates a file named shimgapi.dll of the size 4096 bytes and using the LoadLibrary function it loads it into the main memory. This program activates a backdoor utility listening on the port number 3127 and registers itself in the following register key:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32
This key is used by default as a pointer to the file named Webcheck.dll, which is a COM interface for web monitoring. By modifying of this key the worm makes sure that the shimgapi.dll file is loaded into the address location of explorer.exe.
In the next step the worm checks the system time of the infected computer and if is past Feb 12th 2004 2:28:57 it quits.
Otherwise it copies itself into the MS Windows system directory as taskmon.exe and adds a new value in the following registry keys:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
or
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
The new value is the following: "TaskMon" = %SysDir%\taskmon.exe
By which the worm makes sure it will be launched each time the computer boots.
If the system time is past February 1st 2004 16:09:18 it launches a Denial of Service (DoS) attack on
www.sco.com.
If the infected computer has the peer-to-peer client Kazaa installed the worm copies itself into the Kazaa shared directory with one of the following names:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
with one of the extensions .bat, .exe, .scr alebo .pif.
In the next step the worm acquires addresses for its spreading from files with the following extensions:
.txt
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
The sender address is altered. The subject line and the text in the body of the e-mail message changes as follows:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
The body of the e-mail message contains one of the following texts:
test
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
The attachment has one of the following file names or a random file name:
document
readme
doc
text
file
data
test
message
body
With one of the following extensions:
pif
scr
exe
cmd
bat
zip
The worm makes it appear that the extension is one of the following:
.htm
.txt
.doc
The detection of Win32/MyDoom.A using sample is added since version 1.608.