Security Lab

W32.Mydoom.AH@mm

W32.Mydoom.AH@mm

W32.Mydoom.AH@mm - это червь массовой рассылки, который эксплуатирует уязвимость удаленного переполнения буфера в Microsoft Internet Explorer в тэге IFRAME. Распространяется червь, рассылая себя по email адресам, которые найдет на зараженном компьютере.

W32.Mydoom.AH@mm - это червь массовой рассылки, который эксплуатирует уязвимость удаленного переполнения буфера в Microsoft Internet Explorer в тэге IFRAME. Распространяется червь, рассылая себя по email адресам, которые найдет на зараженном компьютере.

При запуске W32.Mydoom.AH@mm выполняет следующие действия:

1. Создает файл %System%\[random name]32.exe.

2. Добавляет значение:

  
  "Reactor5" = "%System%\[random name]32.exe" 
в ключ реестра:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 

3. Может создать следующие ключи реестра:

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
  Explorer\ComExplore
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
  Explorer\ComExplore\Version
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  Explorer\ComExplore
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  Explorer\ComExplore\Version 

4. Удаляет следующие значения:

  # center
  # reactor
  # Rhino
  # Reactor3
  # Reactor4 
из ключа реестра:
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
5. Пытается внедрить свой код в качестве потока в любой процесс с window class name "Shell_TrayWnd" или в любой запущенный высокоприоритетный процесс. Если это червю удалось, то он продолжает выполняться внутри зараженного процесса. Все действия, описываемые в следующих пунктах выполняет зараженный процесс, а червь становится невидимым в списке процессов в Windows Task Manager. Если червю не удалось внедрить свой код, то он продолжает выполнятьтся как собственный процесс.

6. Собирает email адреса из Windows address book и из файлов с расширениями:

  # .txt
  # .htmb
  # .shtl
  # .phpq
  # .aspd
  # .dbxn
  # .tbbg
  # .adbh
  # .pl
  # .wab 
7. Использует собственный SMTP механизм для того, чтобы разослать себя по найденным email адресам.

8. Открывает 1639 TCP порт для команд.

9. Пытается соединиться со следующими IRC серверами по 6667 TCP порту:

  # broadway.ny.us.dal.net
  # brussels.be.eu.undernet.org
  # caen.fr.eu.undernet.org
  # ced.dal.net
  # coins.dal.net
  # diemen.nl.eu.undernet.org
  # flanders.be.eu.undernet.org
  # graz.at.eu.undernet.org
  # london.uk.eu.undernet.org
  # los-angeles.ca.us.undernet.org
  # lulea.se.eu.undernet.org
  # ozbytes.dal.net
  # qis.md.us.dal.net
  # vancouver.dal.net
  # viking.dal.net
  # washington.dc.us.undernet.org 

10. Прекращает работу 16-го декабря 2004 года.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!