Пресс-релизы

19 февраля 2004 г

"Антивирусная лаборатория ЦЕБИТ" сообщает о новой эпидемии

Уровень риска - высокий! По классификации различных компаний данный червь носит названия:

W32/Netsky.b@MM [McAfee],

W32/Netsky.B.worm [Panda],

WORM_NETSKY.B [Trend Micro],

Moodown.B [F-Secure],

I-Worm.Moodown.b [Kaspersky]

Описание:

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Червь представляет собой PE EXE-файл, размером около 21KB. Червь упакован UPX, размер распакованного файла около 40KB.

Инсталляция

После запуска червь выводит на экран ложное сообщение об ошибке "The file could not be opened!":

Копирует себя в каталог Windows, под именем "services.exe" и регистрирует данный файл в ключе автозапуска системного реестра:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]

"service" = "%windir%services.exe -serv"

Также червь создает уникальный идентификатор своего присутствия в памяти "AdmSkynetJklS003".

Червь создает множество своих копий во всех подкаталогах, содержащих в своем названии слово "Share" или "Sharing" на всех доступных дисках от C до Z с именами выбираемыми из списка:

winxp_crack.exe

dolly_buster.jpg.pif

strippoker.exe

photoshop 9 crack.exe

matrix.scr

porno.scr

angels.pif

hardcore porn.jpg.exe

office_crack.exe

serial.txt.exe

cool screensaver.scr

eminem - lick my pussy.mp3.pif

nero.7.exe

virii.scr

e-book.archive.doc.exe

max payne 2.crack.exe

how to hack.doc.exe

programming basics.doc.exe

e.book.doc.exe

win longhorn.doc.exe

dictionary.doc.exe

rfc compilation.doc.exe

sex sex sex sex.doc.exe

doom2.doc.pif

а также копирует несколько своих копий в формате ZIP c именами из списка:

document

msg

doc

talk

message

creditcard

details

attachment

me

stuff

posting

textfile

concert

information

note

bill

swimmingpool

product

topseller

ps

shower

aboutyou

nomoney

found

story

mails

website

friend

jokes

location

final

release

dinner

ranking

object

mail2

part2

disco

party

misc

Размножение

Червь ищет файлы с расширениями adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs, и wab, ищет в них адреса электронной почты и рассылает свои копии по найденным адресам. Для отправки писем червь использует собственную SMTP-библиотеку.

Зараженные письма формируются из произвольных комбинаций:

Тема:

Hi

hi

hello

read it immediately

something for you

warning

information

stolen

fake

unknown

Текст письма:

AnythingOk?

anything ok?

what does it mean?

ok

i`m waiting

read the details.

here is the document.

read it immediately!

my hero

here

is that true?

is that your name?

is that your account?

i wait for a reply!

is that from you?

you are a bad writer

I have your password!

something about you!

kill the writer of this document!

i hope it is not true!

your name is wrong

i found this document about you

yes, really?

that is bad

here it is

see you

greetings

stuff about you?

something is going wrong!

information about you

about me

from the chatter

here, the serials

here, the introduction

here, the cheats

that`s funny

do you?

reply

take it easy

why?

thats wrong

misc

you earn money

you feel the same

you try to steal

you are bad

something is going wrong

something is fool

Удаление червя Mydoom

Аналогично некоторым другим червям, данный червь содержит в себе функцию "удаления" с зараженной машины червя Mydoom. Для этого он ищет в системном реестре Windows ключи "Explorer" и "Taskmon" в следующих ветках:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]

[HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun]

а также удаляет ключ:

[HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32]

Прочее

Червь удаляет из системного реестра Windows ключи "KasperskyAv" и "system.".

Внимание всем участнакам выставки EnterEX 2004!

«Антивирусная лаборатория ЦЕБИТ» является Антивирусным партнером выставки.

Все участники выставки могут получить бесплатно утилиты, обратившись к сотрудникам нашей компании непосредственно не выставке ( стенд №D 442) или на нашем сайте www.virusam.net

версия для печати

SMS

Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.

Смотрите также

18 октября 2013 г

 • Опасная пропорция: 2/3 пользователей и их финансовые операции в Сети под угрозой

17 октября 2013 г

 • В Киеве завершился Международный научно-технологический форум «Наука. Инновации. Технологии – 2013»
 • Впервые в Киеве будет проведен глобальный курс для начинающих предпринимателей Earlydays

16 октября 2013 г

 • Украинские предприниматели выходят на международный рынок с помощью Windows Azure
 • Бионические разработки Festo – инвестиции в будущее

15 октября 2013 г

 • Компании тратят $1,5 млн в год на покупку поддельных наклеек на компьютеры

11 октября 2013 г

 • Відбувся 4-й Український форум з управління Інтернетом IGF-UA
 • В Киеве прошла Региональная конференция ENOG 6/RIPE NCC
 • Графические процессоры ускоряют пошив плаща-невидимки
 • Mail.Ru Group оштрафовали за отказ нарушить тайну переписки