Исходники Mydoom дали первые плоды

Украинский Антивирусный Центр, разработчик комплексных систем антивирусной защиты, сообщил о начале эпидемии нового червя I-Worm.Moodown.b. Данный червь был написан с использованием исходных кодов червя Mydoom/Novarg. Червь представляет угрозу для компьютеров с ОС Windows, он червь распространяется по электронной почте в виде вложенного файла с двойным расширением. Размер файла, содержащего червь, составляет 22016 байт. Червь написан на MS C++ и упакован утилитой сжатия файлов UPX.
Тема, текст письма, а также имя вложенного файла формируются из указанного в черве списка. Адреса для рассылки собираются на инфицированном компьютере из файлов с расширениями msg, oft, sht, dbx, tbb, adb, doc, wab, asp, uin, rtf, vbs, html, htm, pl, php, txt, eml.
После запуска червь создаёт в папке Windows файл SERVICES.EXE, который является копией червя. В реестре создаётся ключ, запускающий автоматически червя при каждой загрузке операционной системы:
HKEY LOCAL MACHINESoftwareMicrosoftWindowsCurrentVersionRun services = "%WinDir%services.exe -serv"
При первом запуске червь отображает на экране следующее сообщение об ошибке: "Error. The file could not be opened!"


Учебные курсы потеме:


Безопасность компьютерных сетей
Теория и практика применения PKI
Применение межсетевых экранов для защиты корпоративных сетей

Украинский Антивирусный Центр