Вирус-червь, распространяющийся через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл), имеет размер около 38КБ, упакован UPX. Размер распакованного файла около 74КБ.
Червь содержит в себе бэкдор-функцию.
После своего запуска червь запускает Windows Notepad, в котором демонстрирует произвольный набор символов:
При инсталляции червь копирует себя с именем "tasker.exe" в системный каталог Windows и регистрирует этот файл в ключе автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Task"="%System%\tasker.exe"
Червь создает в системном каталоге Windows файл "nemog.dll", являющийся бэкдор-компонентом и регистрирует этот файл в системном реестре:
[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32] "(Default)"="%System%\Nemog.dll"
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:
adbhПри этом игнорируются адреса, содержащие следующие подстроки:
.edu .gov .mil abuse accoun acketst admin anyone arin. avp berkeley borlan bsd bugs ca certific contact example feste fido foo. fsf. gnu gold-certs google gov. help |
iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux listserv math me mit.e mozilla mydomai no nobody nodomai noone not nothing ntivi page panda pgp |
postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho submit support syma tanford.e the.bat unix usenet utgers.ed webmaster you your |
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Имя отправителя выбирается из следующих вариантов:
adam alex alice andrew anna bill bob brenda brent brian claudia dan dave david debby fred |
george helen jack james jane jerry jim jimmy joe john jose julie kevin leo linda maria |
mary matt michael mike peter ray robert sam sandra serg smith stan steve ted tom |
Выбирается из списка:
ErrorИспользуется один из предустановленных вариантов, например:
Выбирается из списка:
bodyВложения могут иметь одно из следующих расширений:
batЧервь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:
Cleaner.exeЧервь открывает на зараженной машине TCP порт 5422 для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Бэкдор может загружать из интернета и запускать на исполнение любые файлы.
I-Worm.Mydoom.r содержит следующие строки:
MSG To SkyNet-Netsky: i know skynet is sucks so fuck off and i will
complete my projects ok baby!,the second author for mydoom worms!!, he
will complete the project, more is coming soon better than better,
KuwaitБудьте внимательны и не открывайте непонятные Вам вложения к письмам !
Информация взята с сайта viruslist.com