Антивирусная лаборатория PandaLabs зафиксировала появление Mydoom.N, новой версии широко известного червя Mydoom.
Mydoom.N распространяется через электронную почту, используя собственный SMTP-механизм. Этот червь устанавливает файл EXE, который открывает и прослушивает порт, функционируя в этом случае как черный вход (backdoor).
Таким образом он позволяет хакерам получить доступ к инфицированному компьютеру для проведения на нем действий, нарушающих конфиденциальность данных и мешающих нормальной работе.
Mydoom.N создает следующие записи в Реестре Windows:
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run;
- JavaVM = "%WinDir %\java.exe";
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run;
- Services = "%WinDir %\Services.exe";
Кроме того, он создает следующие файлы в директории Windows: %WinDir%\java.exe copy of this worm и %Windir%\Services.exe.
Mydoom.N подделывает электронный адрес, с которого он был отослан, что может привести в получателя замешательство, в адресе отправителя могут быть добавлены следующие строки:
- "Automatic Email Delivery Software";
- "Bounced mail";
- "Mail Administrator";
- "Mail Delivery Subsystem";
- "MAILER-DAEMON";
- "Post Office";
- "Postmaster";
- "Returned mail";
- "The Post Office".
Сообщение может быть пустым, с неразборчивым набором символов или одним из следующих:
- Your message was undeliverable due to the following reason(s):
Your message could not be delivered because the destination computer was
unreachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.
Your message was not delivered within 5days:
Host
is not responding. The following recipients did not receive this message:
Please reply to
if you feel this message to be in error.
- Message could not be delivered
- Dear user of %recipient's email address%
Your email account was used to send a large amount of span during the last week.
Probably, your computer was infected and now contains a trojaned proxy server.
We recommend that you follow the instructions in order to keep your compute safe.
Virtually yours,
- %recipient's email address% user support team.
Приложения: имя файла может быть различным и иметь разные расширения. Возможны такие имена: "readme" ˜instruction", "attachment", "transcript", "mail", "setter". "file", "text" y "document".
Желающие могут бесплатно проверить свои компьютеры на наличие вирусов, используя бесплатный антивирусный сканер Panda ActiveScan, доступный на сайте компании.
А. Л.
