Появился новый червь Mydoom.N

Антивирусная лаборатория PandaLabs зафиксировала появление Mydoom.N, новой версии широко известного червя Mydoom.
Mydoom.N распространяется через электронную почту, используя свой собственный SMTP механизм. Этот червь устанавливает файл EXE, который открывает и прослушивает порт, функционируя в этом случае как черный вход (backdoor). Таким образом, он позволяет хакерам получить доступ к инфицированному компьютеру для проведения на нем действий, которые нарушат конфиденциальность данных и помешают нормальной работе.

Mydoom.N создает следующие записи в Реестре Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
JavaVM = “%WinDir %\java.exe”

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Services = “%WinDir %\Services.exe”

Также он создает следующие файлы в Директории Windows: %WinDir%\java.exe copy of this worm and %Windir%\Services.exe.

Mydoom.N подделывает электронный адрес, с которого он был отослан, что может привести в получателя замешательство. Также он может добавить следующие тексты в адрес отправителя:

· "Automatic Email Delivery Software"
· "Bounced mail"
· “Mail Administrator”
· "Mail Delivery Subsystem"
· "MAILER-DAEMON"
· "Post Office"
· “Postmaster”
· "Returned mail"
· "The Post Office"

Сообщение может быть пустым, с неразборчивым набором символов или одним из следующих:

- Your message was undeliverable due to the following reason(s):

Your message could not be delivered because the destination computer was
unreachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.

Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.

Your message was not delivered within 5days:
Host is not responding.

The following recipients did not receive this message:


Please reply to
if you feel this message to be in error.

- Message could not be delivered

- Dear user of %recipient’s email address%

Your email account was used to send a large amount of span during the last week.
Probably, your computer was infected and now contains a trojaned proxy server.

We recommend that you follow the instructions in order to keep your compute safe.

Virtually yours,
· %recipient’s email address% user support team.

Имя вложенного файла может быть различным и иметь разные расширения. Возможны такие имена: "readme instruction", "attachment", "transcript", "mail", "setter". "file", "text" и "document".

©1997-2024 Компьютерная газета