Za tiste, ki ga še ne poznajo, pa že nekaj dni razsaja po svetu.

Črv Mydoom
Vzdevki: Shimgapi, Novarg, W32/Mydoom.A@mm
Dolžina: 22528 bajtov

Povzetek

Mydoom je črv, ki se širi preko elektronske pošte in omrežja Kazaa. Ob zagonu odpre program Notepad, ki prikaže naključne znake. Od 1. februarja dalje napada spletni strežnik SCO.COM.

Črv odpre tudi stranska vrata. To naredi tako, da v imenik system32 skopira datoteko SHIMGAPI.DLL in jo požene kot podproces procesa EXPLORER.EXE.

Mydoom se bo prenehal širiti 12. februarja.

28. januarja popoldne se je pojavila verzija Mydoom.b.

Odstranjevanje

Podjetje F-Secure je pripravilo orodje, s katerim se lahko zazna in odstrani črva Mydoom. Na voljo je kot ZIP datoteka:

Razpakirana verzija:

Odstranjevanje se lahko sproži tudi na daljavo s pomočjo orodja F-Secure Policy Manager. JAR datoteka je na voljo na:

Podroben opis

Črv je stisnjen s programom UPX in ima besedila v svoji kodi kriptirana z uporabo metode ROT13. Ob zagonu kreira mutex “SwebSipcSmtxSO” s katerim zagotovi, da se požene samo enkrat hkrati.

Ob zagonu odpre Notepad z naključnimi znaki:

Črv se skopira v sistemski imenik okolja Windows kot ‘taskmon.exe’ in doda vnos v register.

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
“TaskMon” = %sysdir%\taskmon.exe

če mu to ne uspe, doda:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
“TaskMon” = %sysdir%\taskmon.exe

S tem doseže, da se sproži ob vsakem zagonu računalnika.

Poleg tega skopira dodatno datoteko v:

%sysdir%\shimgapi.dll

Ta datoteka odpre TCP vrata od 3127 do 3198 in na njih čaka na povezave. Preko njih lahko naprimer sprejema ukaze za prenos in zagon dodatnih programov na okuženem računalniku.

Širjenje v omrežju Kazaa

Črv v register pogleda, kateri imenik je v skupni rabi programa Kazaa in se vanj skopira pod imenom, sestavljenim iz besed:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

Podaljški pa so:

.bat
.exe
.scr
.pif

Razpošiljanje po elektronski pošti

Črv nabere naslove, na katere se razpošilja, iz adresarja (Windows Address Book) ter datotek s podaljški:

pl
adb
tbb
dbx
asp
php
sht
htm
txt

Zazna tudi nekatere enostavne oblike prikrivanja naslovov, naprimer ” at ” nadomesti z znakom “@”.

Poslana sporočila imajo naslednje značilnosti:

Zadeva je lahko:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Vsebina je lahko:

test

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

The message contains Unicode characters and has been sent
as a binary attachment.

Mail transaction failed. Partial message is available.

Pripone so sestavljene iz besed:

document
readme
doc
text
file
data
test
message
body

s podaljški:

pif
scr
exe
cmd
bat
zip

Primer okuženega sporočila:

Napadanje

Ob vklopu računalnika po 1. februarju črv prične vsako sekundo pošiljati zahteve na spletni strežnik SCO.COM. Zahteva vsebuje samo “GET / HTTP/1.1”. Cilj črva je, da bi z ogromno količino zahtev onemogočil delovanje spletnega strežnika podjetja SCO.

Stranska vrata

Datoteko ‘shimgapi.dll’ črv doda v register pod:

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32]

To povzroči, da Explorer vedno naloži ta DLL in le-ta ni viden kot samostojen proces.

Zaznavanje

F-Secure Anti-Virus črva zazna s podatki:

[FSAV_Database_Version]
Version= 2004-01-27_01

Blokiranje črva na poštnem strežniku brez pregledovanja

Sporočila se lahko blokira na poštnem strežniku tudi brez pregledovanja. Potrebno je samo preveriti, če telo sporočila (body) vsebuje zaporedje:

‘^UEsDBAoAAAAAA.{6}zy5egAlgAAAJYAA’
‘^UEsDBAoAAAAAA.{6}KJx\+eAFgAAABYAA’

Nekateri programi ne potrebujejo znaka \ pred znakom ‘+’. Če sporočilo vsebuje zgornje zaporedje, se ga lahko zavrne (vsebuje ZIP verzijo).

Za zaznavanje EXE verzije je potrebno iskati vrstice:

‘QWRuwhLeZHJyFsetbllrtEilOBwrJ8OYMXsTGWAEvKwwhG6qzQlpQXePs2GNRklxNWtlZBN2agul’
‘YxILFUnSmWGSblIi5FUzNsGwsPXUQpMmSx2FFJx5orXascf4NmeMS2V5DE9wTd069+gLRSQOOlaN’
‘dWVhBwCGDyQRCTN3KaZ1bTAMr63ZbLM/ZMIIAW2j7rQ1zHNlomp3QxDz2N8MAwdpc2RpZ2kZdXBw’
‘c83NthF4EglmWwg4zVb4c3BhS0/NLFjA/nubVS9CdWZmQQ8LZ9qOPExvd3d2OXK2I1GYbdh3CkfY’

Cofk,
jaz sem prejela najman 5 takih datotek, vendar sem se samo na njih postavila in jih pobrisala v prejetih in v izbrisanih. Prosim če mi lahko sporočiš ali vse to kar si napisala pomeni, da se zažene virus samo ob odprtju priponke ali tudi tako da ga samo dobiš.Imam pa Norton Antivirusni program. V naprej hvala,
Darja

Hallo!
Smo zadnjič že pisali o tem ja! Mi smo ga dobili a hvala bogu preko zaščite ni prišel in nam okužil računalnika!
Še eno sranje več na katerega bo treba pazit!
Vsem želim, da ge ne dobite, ali pa vsaj še pravi čas odkrijete!
Pozdravčke!
Valerija!

Uf, sem se že ustrašila, da spet kak nov “zdravstveni” virus. Ta pa bo bolj zanimal mojega možička in vse njegove v službi.

Jaz pa sem odprla mejl, priponke pa ne. Ali sem okužena?

Darja!

Samo toliko, meni ga Norton A Virus 2002 sam odkriva in ga uničuje, seveda se mi skoraj vsakodnevno osvežuje sam z novimi virusnimi definicijami.

Sicer pa klikni na povezavo, ki sem jo dal in prenesi programček na svoj PC in preglej svoj sistem, če imaš črvička.

dovolj povezava na razpakirano verzijo?
ali moram klikniti na zgornje?

ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.exe

T.

naj bi bilo dovolj…

sam sem ga prenesel kot zip verzijo na PC, tako da ga občasno lahko pregledujem dodatno…

po želji!

C

Se ne križa s siceršnjim antivirusnim programom?
Eni si bojda nagajajo.
T.

o.k., jaz imam Norton antivirus 2003 in se dnevno updata, scaning sem naredila, tako da ni odkril nobenega virusa, torej je vse o.k.,
lp in hvala Darja

Meni se ne križa, je pa res da je odvisno od obstoječega Antivirusnega programa. Norton 2002 ni mešanček temu :))

Programček samo prečekira in to v DOS-ovem okencu…