Mydoom má novou mutaci F

Mydoom.F je červ, šířící se pomocí emailové přílohy s příponou .bat, .com .cmd, .exe, .pif, .scr nebo .zip. Vlastní podoba červa může být velmi proměnlivá.

Pokud je počítač napaden, červ vytvoří „zadní vrátka“ pomocí otevření TCP portu 1080, díky kterému umožňuje přístup potenciálních dalších útočníků. Pokud je mezi 17-tým a 22-tým dnem libovolného měsíce, počítač dále provádí DoS útok na www.microsoft.com a www.riaa.com.

V případě náhodné aktivace přílohy emailu, která má délku 34.568 bajtů dojde na počítači k následujícím akcím:

1. Červ se znovu spouští jen v případě, že daný počítač ještě nenapadnul.
2. Po spuštění zobrazí dialogový box s titulkem Error a jedním z následujících textu: File is corrupted, File cannot be opened, Unable to open specified file
3. Červ může vytvořit v adresáři TEMP soubor, obsahující pouze náhodně generovaná data a následně ho zobrazit ho pomocí Poznámkového bloku (notepad.exe)
4. Svůj kód červ zkopíruje do systémového adresáře Windows pod náhodně vygenerovaným názvem (4-13 znaků) a příponou EXE.
5. Ve složce System operačního systému vytvoří červ soubor s příponou DLL a náhodně vygenerovaným názvem (4-7 znaků).  Pomocí tohoto souboru vytváří „zadní vrátka“ (backdoor), fungující jako proxy server otevírající TCP port 1080, který je schopen stáhnout a spustit libovolný soubor. Knihovna se zároveň pokouší ukončit služby a procesy, v jejichž jménech jsou následující texty: reged, Taskmo, Taskmg, avp., avp32, norton, navapw, navw3, intrena, mcafe.
6. V kořenovém adresáři disku vytváří několik ZIP archívů s náhodně vygenerovanými jmény. Všechny soubory mají velikost 35 kB.
7. V systémovém registru přidá záznam: “<4-8 náhodných znaků>“ = „%System%\<jméno kopie červa>“ do jednoho z následujících klíčů: HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run nebo HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run což červu zajistí spouštění i po restartu počítače.
8. Dále červ vytvoří v následujících klíčích několik záznamů: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell a HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell
9. Červ zkontroluje lokální systémové datum. Pokud je den mezi číslem 17 a 22, existuje 68 procentní šance, že červ bude provádět DoS útok na www.microsoft.com a 32 procentní šance na útok proti www.riaa.com. DoS útoky jsou prováděny pomocí GET požadavků zasílaných na port 80.
10. Na všech lokálních discích s písmeny od C do Z  vyhledává červ soubory končící na přípony MDB, DOC, XLS, SAV, JPG, AVI, BMP a náhodně tyto soubory maže.
11. Červ prochází všechny soubory následujících přípon, vyhledává v nich emailové adresy a ty následně ukládá: wab mbx nch mmf ods rtf uin oft mht vbs msg pl eml adb tbb dbx asp php sht htm txt
12. Emailové adresy jsou dále získávány ze složky Temporary Internet Files a z Adresáře aplikace Outlook.
13. Červ se vyhýbá ukládání emailových adres obsahujících jeden z následujících textů: mozilla, utgers.ed, tanford.e, fsf., gnu, mit.e, bsd, math, unix, berkeley, ripe., arin., sendmail, rfc-ed, ietf, iana, irix, solaris, sgi.com, sun.com, slashdot, sourcef, usenet, fido, linux, kernel, google, ibm.com, pgp, acketst, secur, isc.o, isi.e, nai.co, essagela, suppo, foo., .mil, gov., .gov, Ruslis, Nodoma, Mydoma, Example, Inpris, Borlan, Sopho, Panda, Hotmail, msn., icrosof, syma
14. Pomocí vlastního SMTP enginu odesílá své kopie ve formě ZIP souboru na nalezené emailové adresy. Email má následující charakteristiku:
    
    Do políčka Odesílatele je dosazena jedna z následujících možností: Jerry, Bill, Smith, Jim, Sam, James, Alex, <náhodné znaky> pokračující jednou z těchto domén: aol.com, msn.com, yahoo.com, hotmail.com, <náhodné znaky.edu>
    
    Také Předmět je vybrán z následujících možností: <nic>, Announcement, Re: Thank you, Thank you, Re: Details, Details, Re: Approved, Approved, hi, it‘s me, Thank You very very much, You use illegal File Sharing..., Your IP was logged, Your account is about to be expired, Love is, Love is..., Undeliverable message, Re: <censored>, Your order was registered, Your request was registered, Your order is being processed, Your request is being processed, Current Status, read now!, forget, bug, unknown, fake, Wanted, recent news, news, stolen, Attention, Accident, Schedule, Your credit card, Read it immediately!, Read this, Read it immediately, Something for you, For you, For your information, Information, Warning, You have 1 day left, automatic notification, automatic responder, Notification, Expired account, Your account has expired, Important, Readme, Read this message, please read, please reply, Registration confirmation, Confirmation, Confirmation Required, Returned Mail, Hello, hi
    
    Text zprávy obsahuje jednu z následujících vět: You are bad, Take it, Reply, Please, reply, Information about you, Greetings, See you, Here it is, We have received this document from your e-mail., Kill the writer of this document!, Something about you, I have your password :), You are a bad writer, Is that yours?, Is that from you?, I wait for your reply., Here is the document., Read the details., I‘m waiting, Okay, OK, Everything ok?, Check the attached document., The document was sent in compressed format., Please see the attached file for details, See the attached file for details, Details are in the attached document. You need Microsoft Office to open it.

Jak můžete vidět, tento červ ukazuje kromě běžné funkce zahlcení Internetu svým rozesíláním i agresivnější povahový rys a tím je mazání náhodně nalezených souborů určitých typů. Nezapomeňte na aktualizaci vašeho antivirového programu, ať se právě vy nestanete zdrojem nákazy pro ostatní. Pravidlo NEOTVÍRAT přílohy v neznámých mailech by mělo být v dnešní době samozřejmostí.

Zdroj: Symantec