Новая модификация вируса I-Worm.Mydoom.f
Обнаружена новая модификация вируса I-Worm.Mydoom.f, которая является на сегодняшний день наиболее опасной для пользователей, так как содержит деструктивные функции удаления файлов.
Почтовый червь I-Worm.Mydoom.f размножается в виде писем с присоединёнными файлами, содержащими тело червя. Размер файла, содержащего червя, 34797 байт. исполняемый файл червя имеет иконку текстового документа, чем сбивает с толку пользователей и подталкивает их к запуску червя.
После запуска червь отображает на экране сообщение об ошибке, содержащее одну из строк:
Unable to open specified file
File cannot be opened
File is corrupted
Далее Mydoom.f копирует себя в системную папку Windows со случайным именем и расширением .exe. В реестре создаётся соответствующая запись, приводящая к автоматическому запуску червя при загрузке операционной системы.
Также червём создаётся в системной папке Windows DLL-файл (динамическая библиотека) со случайным именем. Данная библиотека содержит Backdoor-модуль червя.
I-Worm.Mydoom.f рассылает себя по электронной почте. Адреса для рассылки собираются из файлов с расширениями: WAB, MBX, NCH, MMF, ODS, RTF, UIN, OFT, MHT, VBS, MSG, PL, EML, ADB, TBB, DBX, ASP, PHP, SHT, HTM, TXT.
Червь I-Worm.Mydoom.f ищет на всех дисках (от C: до Z:) файлы с расширениями MDB, DOC, XLS, SAV, JPG, AVI, BMP и случайным образом (с разной вероятностью) удаляет найденные файлы.
Червь производит DoS атаку на WEB-сайты www.riaa.com или www.microsoft.com. Атака производится только в том случае, если системная дата между 17 и 22 числом любого месяца. Во время проведения атаки червь создаёт случайное количество нитей, каждая из которых производит обращение к атакуемому сайту.
Кроме того, вирус имеет backdoor-модуль, который открывает порт 1080 TCP/IP. Подключившись на данный порт поражённого компьютера, злоумышленник может использовать его как Proxy-сервер, либо давать команды на закачку и запуск других файлов.
Почтовый червь I-Worm.Mydoom.f размножается в виде писем с присоединёнными файлами, содержащими тело червя. Размер файла, содержащего червя, 34797 байт. исполняемый файл червя имеет иконку текстового документа, чем сбивает с толку пользователей и подталкивает их к запуску червя.
После запуска червь отображает на экране сообщение об ошибке, содержащее одну из строк:
Unable to open specified file
File cannot be opened
File is corrupted
Далее Mydoom.f копирует себя в системную папку Windows со случайным именем и расширением .exe. В реестре создаётся соответствующая запись, приводящая к автоматическому запуску червя при загрузке операционной системы.
Также червём создаётся в системной папке Windows DLL-файл (динамическая библиотека) со случайным именем. Данная библиотека содержит Backdoor-модуль червя.
I-Worm.Mydoom.f рассылает себя по электронной почте. Адреса для рассылки собираются из файлов с расширениями: WAB, MBX, NCH, MMF, ODS, RTF, UIN, OFT, MHT, VBS, MSG, PL, EML, ADB, TBB, DBX, ASP, PHP, SHT, HTM, TXT.
Червь I-Worm.Mydoom.f ищет на всех дисках (от C: до Z:) файлы с расширениями MDB, DOC, XLS, SAV, JPG, AVI, BMP и случайным образом (с разной вероятностью) удаляет найденные файлы.
Червь производит DoS атаку на WEB-сайты www.riaa.com или www.microsoft.com. Атака производится только в том случае, если системная дата между 17 и 22 числом любого месяца. Во время проведения атаки червь создаёт случайное количество нитей, каждая из которых производит обращение к атакуемому сайту.
Кроме того, вирус имеет backdoor-модуль, который открывает порт 1080 TCP/IP. Подключившись на данный порт поражённого компьютера, злоумышленник может использовать его как Proxy-сервер, либо давать команды на закачку и запуск других файлов.