Все новости от 28 июля 2004 г.

Panda Software зафиксировала появление вируса Mydoom.N

Антивирусная лаборатория PandaLabs зафиксировала появление Mydoom.N, новой версии широко известного червя Mydoom.

Mydoom.N распространяется через электронную почту, используя собственный SMTP-механизм. Этот червь устанавливает файл EXE, который открывает и прослушивает порт, функционируя в этом случае как черный вход (backdoor).

Таким образом он позволяет хакерам получить доступ к инфицированному компьютеру для проведения на нем действий, нарушающих конфиденциальность данных и мешающих нормальной работе.

Mydoom.N создает следующие записи в Реестре Windows:

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run;

• JavaVM = "%WinDir %\java.exe";

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run;

• Services = "%WinDir %\Services.exe";

Кроме того, он создает следующие файлы в директории Windows: %WinDir%\java.exe copy of this worm и %Windir%\Services.exe.

Mydoom.N подделывает электронный адрес, с которого он был отослан, что может привести в получателя замешательство, в адресе отправителя могут быть добавлены следующие строки:

• "Automatic Email Delivery Software";

• "Bounced mail";

• "Mail Administrator";

• "Mail Delivery Subsystem";

• "MAILER-DAEMON";

• "Post Office";

• "Postmaster";

• "Returned mail";

• "The Post Office".

Сообщение может быть пустым, с неразборчивым набором символов или одним из следующих:

• Your message was undeliverable due to the following reason(s):

  Your message could not be delivered because the destination computer was

  unreachable within the allowed queue period. The amount of time

  a message is queued before it is returned depends on local configura-

  tion parameters.

  Most likely there is a network problem that prevented delivery, but

  it is also possible that the computer is turned off, or does not

  have a mail system running right now.

  Your message was not delivered within 5days:

  Host is not responding.

  The following recipients did not receive this message:

  Please reply to

  if you feel this message to be in error.

• Message could not be delivered

• Dear user of %recipient's email address%

  Your email account was used to send a large amount of span during the last week.

  Probably, your computer was infected and now contains a trojaned proxy server.

  We recommend that you follow the instructions in order to keep your compute safe.

  Virtually yours,

• %recipient's email address% user support team.

Приложения: имя файла может быть различным и иметь разные расширения. Возможны такие имена: "readme" ˜instruction", "attachment", "transcript", "mail", "setter". "file", "text" y "document".

Желающие могут бесплатно проверить свои компьютеры на наличие вирусов, используя бесплатный антивирусный сканер Panda ActiveScan, доступный на сайте компании.

А. Л.