Cała prawda o Mydoom.C

Wczoraj informowaliśmy o pojawieniu się nowej mutacji wirusa MyDoom – w wersji C. Specjaliści z laboratorium firmy Dr.Web po przeprowadzeniu analiz kodu źródłowego opublikowali raport o Mydoom.C znanym również jako Win32.HLLW.MyDoom.43008, W32.HLLW.Doomjuice, WORM_DOOMJUICE.A czy Worm.Win32.Doomjuice. Wyniki ich prac prezentujemy poniżej:

Na daną chwilę trudno jest mówić o masowym rozprzestrzenianiu się tego wirusa, ponieważ wykorzystuje on niespotykany sposób swojego powielania – skanowanie sieci globalnej w poszukiwaniu komputerów, które mają otwarty port 3127, co w większości przypadków wskazuje na zainfekowanie Win32.HLLM.MyDoom.32768. Sam fakt zarażenia komputera tym robakiem (a raczej jego komponentem trojańskim) wyraźnie świadczy to tym, że jego właściciel lub właścicielka zupełnie lekceważy stosowanie programów antywirusowych lub też, po prostu, nie wie o ich istnieniu. Więc to głównie od nich należy spodziewać się sygnałów o zarażeniu ich komputerów jakimkolwiek wirusem lub robakiem.

Wykorzystując luki w systemach zainfekowanych przez pierwszą odmianę MyDoom, nowy robak przenika do nich i pierwsze co robi, to zabezpiecza swoje automatyczne aktywowanie przy następnym uruchomieniu systemu, wpisując skrót do swojej kopii (przewidująco umieszczonej przez niego w katalogu systemowym Windows):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunGremlin=%winsys%\intrenat.exe

Rozmiar pliku intrenat.exe – 36 864 bajt po spakowaniu (wykorzystuje do tego UPX).

Najciekawsze w historii z tym robakiem jest to, że zamieszcza on dokładnie w kilku miejscach – na ścieżce głównej dysku C:\ i w katalogu Windows plik zarchiwizowany o nazwie sync-src-1.00.tbz, w którym spakowane jest podsumowanie działania robaka pocztowego masowej wysyłki Win32.HLLM.MyDoom.32768. Szkoda tylko, że osoby, u których dane podsumowanie się pojawi, nie są w stanie docenić takiego prezentu.

Robak posiada jednak jedną poważną destrukcyjną właściwość – aktywowany w zarażonym komputerze, rozpoczyna atak DoS na stronę microsoft.com. W okresie od 8 do 12 lutego atak ten jest dosyć niewyraźny – robak odprowadza tylko jeden-dwa strumienie przeznaczone do tego celu. Jednakże po 12.02. robak zacznie atakować swoją ulubioną stronę, wszystkimi dostępnymi strumieniami z każdego zarażonego komputera, co najprawdopodobniej, spowoduje, delikatnie mówiąc, duże obciążenie serwera korporacji Microsoft.

Użytkownikom produktów antywirusowych Dr.Web dla Windows zainfekowanie tym wirusem nie grozi – przecież, atakuje on tylko systemy wcześniej zainfekowane przez poprzednie odmiany MyDoom, co praktycznie jest niemożliwe, jeżeli na komputerze zainstalowany jest antywirus Dr.Web. Wszystkim tym, którzy do tej pory nie korzystali z programów antywirusowych, zalecamy jak najszybciej zainstalować ostatnią (darmową) wersję naszego antywirusa – 4.31.

Zobacz również:

www.drweb.com.pl
Dr.WEB za darmo !
MyDoom.C – nowe zagrożenie
MyDoom News