Mydoom.G

Létrehozva: 2007-11-06, 16:52:16

Utolsó frissítés: 2009-11-09, 18:03:34

Platform: Win32

Típus: féreg

Méret: 29696

Dátum: 2004-03-03

Tömörítő: Upx

Nyelv: Assembler

Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A Win32/Mydoom.G féreg elnevezései az egyes vírusvédelmek szerint:

vírusvédelem	elnevezés
Avast	Win32:Mydoom-G
AVG	I-Worm/Mydoom.G
BitDefender	Win32.Mydoom.F@mm
e-Trust	Win32/Mydoom.G
F-PROT	W32/Mydoom.G@mm
F-Secure	Email-Worm.Win32.Mydoom.f
Ikarus	Email-Worm.Win32.Mydoom.G
Kaspersky	Email-Worm.Win32.Mydoom.f
McAfee	W32/Mydoom.g@MM(Virus)

vírusvédelem	elnevezés
Microsoft	Win32/Mydoom.G@mm
NOD32 (ESET)	Win32/Mydoom.G
Norton Antivirus	W32.Mydoom.G@mm
Panda	W32/Mydoom.G.worm
Rising Antivirus	Worm.Novarg.f
Sophos	W32/MyDoom-G
Trend Micro	WORM_MYDOOM.BX
VirusBuster	I-Worm.Mydoom.G

szervezet	elnevezés
Wildlist	W32/Mydoom.G-mm

Telepítés:

Egyes vírusok, férgek a telepítést megelőzően, illetve a telepítés során, esetleg a számítógép sikeres megfertőzését követő első újraindítás alkalmával valamilyen látványos tevékenységet végeznek. Ennek a célja - azon kívül, hogy felhívják magukra a figyelmet - az, hogy az felhasználói interaktívitással (egy billentyűlenyomás vagy egérkattintás) megnehezítsék a kártékony kód automatikus feldolgozását virtuális környezetben.

Az aktivizálódást követően a Win32/Mydoom.G féreg megpróbálja elindítani a(z) notepad.exe programot.

A féreg a saját kódjának telepítése során az alábbi ablako(ka)t jeleníti meg a képernyőn:

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód.

A féreg az alábbi fájlokat hozza létre:

A Windows mappában (alapértelmezés szerint C:\Windows):

Ascent.jpg.exe
Autumn.jpg.scr
Crystal.jpg.exe
Follow.jpg.exe
Friend.jpg.exe
teljes lista...

Ascent.jpg.exe
Autumn.jpg.scr
Crystal.jpg.exe
Follow.jpg.exe
Friend.jpg.exe
Home.jpg.exe
Moon flower.jpg.exe
Peace.jpg.exe
Peace.jpg.scr
Purple flower.jpg.exe
Red moon desert.jpg.exe
Stonehenge.jpg.exe
Vortec space.jpg.exe
Windows XP Balloon.wav.exe
Windows XP Battery Critical.wav.exe
Windows XP Battery Low.wav.exe
Windows XP Battery Low.wav.scr
Windows XP Critical Stop.wav.exe
Windows XP Critical Stop.wav.scr
Windows XP Default.wav.exe
Windows XP Ding.wav.exe
Windows XP Ding.wav.scr
Windows XP Error.wav.exe
Windows XP Error.wav.scr
Windows XP Exclamation.wav.exe
Windows XP Hardware Fail.wav.exe
Windows XP Hardware Fail.wav.scr
Windows XP Hardware Insert.wav.exe
Windows XP Hardware Insert.wav.scr
Windows XP Hardware Remove.wav.exe
Windows XP Hardware Remove.wav.scr
Windows XP Logoff Sound.wav.exe
Windows XP Logoff Sound.wav.scr
Windows XP Logon Sound.wav.exe
Windows XP Menu Command.wav.exe
Windows XP Menu Command.wav.scr
Windows XP Minimize.wav.exe
Windows XP Minimize.wav.scr
Windows XP Notify.wav.exe
Windows XP Notify.wav.scr
Windows XP Print complete.wav.exe
Windows XP Print complete.wav.scr
Windows XP Recycle.wav.exe
Windows XP Recycle.wav.scr
Windows XP Restore.wav.exe
Windows XP Ringin.wav.exe
Windows XP Ringout.wav.exe
Windows XP Ringout.wav.scr
Windows XP Shutdown.wav.exe
Windows XP Shutdown.wav.scr
Windows XP Start.wav.exe
Windows XP Startup.wav.exe
Windows XP Startup.wav.scr
best_road.jpg.exe
best_road_big.jpg.exe
best_robust.jpg.exe
best_robust_big.jpg.exe
best_robust_big.jpg.scr
best_secure_big.jpg.exe
best_secure_ghost.jpg.exe
best_secure_ghost.jpg.scr
chimes.wav.exe
chord.wav.exe
chord.wav.scr
clock.avi.exe
clock.avi.scr
connected_data.jpg.exe
connected_data_ghost.jpg.exe
connected_data_ghost.jpg.scr
connected_multiple_ghost.jpg.exe
connected_networks.jpg.exe
connected_networks_big.jpg.exe
connected_networks_ghost.jpg.exe
connected_wizard.jpg.exe
connected_wizard_big.jpg.exe
connected_wizard_ghost.jpg.exe
control_up.jpg.exe
control_up.jpg.scr
desktop_screen_shot.jpg.exe
desktop_screen_shot.jpg.scr
desktop_up.jpg.exe
ding.wav.exe
ding.wav.scr
end_up.jpg.exe
folder_up.jpg.exe
folder_up.jpg.scr
gradient.jpg.exe
icon_up.jpg.exe
img004b.jpg.scr
img014.jpg.exe
img033.jpg.scr
img033a.jpg.exe
img034.jpg.exe
img040.jpg.exe
img060.jpg.exe
img068.jpg.exe
img074a.jpg.exe
img089.jpg.exe
img100.jpg.exe
img109.jpg.exe
img110.jpg.scr
img121.jpg.exe
img121.jpg.scr
img123.jpg.exe
img126.jpg.exe
img136.jpg.exe
img149.jpg.exe
intro_logo.jpg.exe
logo.jpg.exe
notify.wav.exe
pen_icon.jpg.exe
question_icon.jpg.exe
question_icon.jpg.scr
read_icon.jpg.exe
recycle.wav.exe
ringin.wav.exe
ringin.wav.scr
ringout.wav.exe
ringout.wav.scr
safe_easy_better_big.jpg.exe
safe_easy_easier.jpg.exe
safe_easy_easier_big.jpg.exe
safe_easy_easier_ghost.jpg.exe
safe_easy_faster.jpg.exe
safe_easy_faster_big.jpg.exe
start.wav.exe
start.wav.scr
start_up.jpg.exe
tada.wav.exe
taskbar_up.jpg.exe
unlock_built.jpg.exe
unlock_built_ghost.jpg.exe
unlock_optimized.jpg.exe
unlock_optimized_big.jpg.exe
unlock_optimized_big.jpg.scr
unlock_optimized_ghost.jpg.exe
unlock_playing.jpg.exe
unlock_playing_big.jpg.exe
window_up.jpg.scr
wmpaud1.wav.exe
wmpaud1.wav.scr
wmpaud2.wav.exe
wmpaud3.wav.exe
wmpaud3.wav.scr
wmpaud4.wav.exe
wmpaud5.wav.exe
wmpaud5.wav.scr
wmpaud6.wav.exe
wmpaud6.wav.scr
wmpaud7.wav.exe
wmpaud7.wav.scr
wmpaud8.wav.exe
wmpaud8.wav.scr
wmpaud9.wav.exe
wmpaud9.wav.scr
vissza...

A Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32):

Tkra.exe
Toe.exe
Wbpt.exe
Zsj.exe
adxla.exe
teljes lista...

A megosztott mappákban:

Clear Day Bkgrd.jpg.exe
Clear Day Bkgrd.jpg.scr
Fiesta Bkgrd.jpg.exe
Glacier Bkgrd.jpg.exe
Leaves Bkgrd.jpg.exe
teljes lista...

Létrehozza továbbá az alábbi fájlokat:

Beethoven's Symphony No. 9 (Scherzo).wma.exe
Beethoven's Symphony No. 9 (Scherzo).wma.scr
Blip.wav.scr
Blue hills.jpg.exe
Getting started.doc.scr
teljes lista...

Beethoven's Symphony No. 9 (Scherzo).wma.exe
Beethoven's Symphony No. 9 (Scherzo).wma.scr
Blip.wav.scr
Blue hills.jpg.exe
Getting started.doc.scr
New Stories (Highway Blues).wma.exe
New Stories (Highway Blues).wma.scr
SOUND1.WAV.exe
SOUND1.WAV.scr
SOUND104.WAV.exe
SOUND104.WAV.scr
SOUND105.WAV.exe
SOUND108.WAV.exe
SOUND111.WAV.exe
SOUND111.WAV.scr
SOUND112.WAV.exe
SOUND112.WAV.scr
SOUND12.WAV.exe
SOUND12.WAV.scr
SOUND13.WAV.exe
SOUND131.WAV.exe
SOUND131.WAV.scr
SOUND136.WAV.exe
SOUND14.WAV.exe
SOUND14.WAV.scr
SOUND16.WAV.exe
SOUND16.WAV.scr
SOUND17.WAV.exe
SOUND17.WAV.scr
SOUND18.WAV.exe
SOUND181.WAV.exe
SOUND19.WAV.exe
SOUND20.WAV.exe
SOUND21.WAV.exe
SOUND21.WAV.scr
SOUND22.WAV.exe
SOUND24.WAV.exe
SOUND24.WAV.scr
SOUND240.WAV.exe
SOUND243.WAV.exe
SOUND25.WAV.exe
SOUND26.WAV.exe
SOUND27.WAV.exe
SOUND28.WAV.exe
SOUND29.WAV.exe
SOUND3.WAV.exe
SOUND30.WAV.exe
SOUND30.WAV.scr
SOUND34.WAV.exe
SOUND35.WAV.exe
SOUND36.WAV.scr
SOUND38.WAV.exe
SOUND39.WAV.exe
SOUND4.WAV.exe
SOUND42.WAV.exe
SOUND43.WAV.exe
SOUND43.WAV.scr
SOUND45.WAV.exe
SOUND49.WAV.exe
SOUND49.WAV.scr
SOUND49D.WAV.exe
SOUND49D.WAV.scr
SOUND50.WAV.exe
SOUND528.WAV.exe
SOUND53.WAV.exe
SOUND54.WAV.exe
SOUND55.WAV.exe
SOUND560.WAV.exe
SOUND560.WAV.scr
SOUND563.WAV.scr
SOUND57.WAV.exe
SOUND58.WAV.exe
SOUND6.WAV.exe
SOUND6.WAV.scr
SOUND65.WAV.exe
SOUND65.WAV.scr
SOUND68.WAV.exe
SOUND7.WAV.exe
SOUND713.WAV.exe
SOUND8.WAV.exe
SOUND827.WAV.exe
SOUND9.WAV.exe
SOUND999.WAV.exe
TestSnd.wav.exe
TestSnd.wav.scr
excel.xls.exe
excel4.xls.exe
music.wma.exe
music.wma.scr
newalert.wav.exe
newemail.wav.exe
newemail.wav.scr
online.wav.exe
play.jpg.exe
play.jpg.scr
rec.jpg.exe
type.wav.scr
winword.doc.scr
winword2.doc.exe
winword2.doc.scr
vissza...

A féreg kódját tartalmazó fájlok az alábbi ikonnal jelennek meg:

A rendszerleíró adatbázisba a(z) [ HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run] helyen hoz létre bejegyzést, melyet kiegészít a létrehozott .exe fájlok nevével

A folyamatosan figyelő memóriarezidens vírusoknak, férgeknek célszerű gondoskodni arról, hogy csak egyszer kerüljenek a memóriába. Ennek érdekében úgynevezett mutexet hoznak létre, amelynek a létét a memóriába kerülés elött ellenőrzik.

A Win32/Mydoom.G féreg véletlenszerű mutexeket hoz létre.

E-mail üzenetek

Az e-mail üzenetekben terjedő férgek elsődleges célja, hogy egy másik számítógépet megfertőzzenek. Ezt e-mail üzenetek létrehozásával és elküldésével érik el. Az létrehozott e-mail üzenetek általában tartalmazzák a féreg kódját, de az is előfordulhat, hogy maga a megtámadott számítógép felhasználója tölti azt le az üzenetben megadott hivatkozásról. Az egyes férgek a legkülönfélébb paraméterekkel rendelkező e-mail üzeneteket képesek generálni és elküldeni.

A Win32/Mydoom.G féreg a terjedése érdekében HTML formátumú e-mail üzeneteket generál és ebben küldi tovább saját kódját.

Hogy az e-mail üzenetekben terjedő vírusok, férgek minél inkább el tudjanak terjedni, a megtámadott számítógépeken e-mail címeket gyűjtenek. Ezeket az e-mail címeket aztán felhasználják egyrészt arra, hogy a vírus, féreg kódját továbbküldjék. Esetenként a megtalált címeket a Feladó mező kitöltésére is használják, meghamisítva ezzel az üzenet forrását.

A Win32/Mydoom.G féreg az üzenetek elküldéséhez saját smtp-motort használ.

Az összeállított e-mail üzenetek felépítése az alábbi:

Tárgy

A levélnek különböző tárgyai lehetnek. A lehetőségek az alábbiak:

A levél lehetséges tárgyai:

:)
:-)
ACCOUNT DETAILS
ADDRESS VERIFICATION
Alert
teljes lista...

:)
:-)
ACCOUNT DETAILS
ADDRESS VERIFICATION
Alert
Anna
Attention
Auto-reply
Automatic notification
Bank information
Beauty
Confirmed
Corrupted
Cqtufstbnrlxfss
Daily Report
Dear friend!
Details
Do you love me
Do you still love me
ESEAHKTYDA
Eeo
Email verification
Empty
Eroovoqeub
Excuse me
Expired account
FW:
For your eyes only
From me
Fw:
Fw:Automatic notification
Fw:BLBPSZXCQ
Fw:Expired account
Fw:Greetings
Fw:I can tell you the future
Fw:INTERESTING
Fw:Interesting
Fw:Kate
Fw:MISSED
Fw:Please read
Fw:Read!!!
Fw:Registration
Fw:Response
Fw:Thanks!
Fw:We're experiencing technical problems
Fw:YOUR WEBSITE
Fw:Your chance
Fw:Your request
Fw:do you love me
Fw:kate
Fw:verification
GKONVMAGFCUHB
HELLO! :)
HI! :)
Hello! :)
Hi! :)
I can tell you the future
I need you
Interesting
Join
Just some stuff
KATE
MARIA
Message
Microsoft
Mkmhbbciei
My details
Photo
Please read
Please, confirm the registration
Pricelist
Question
REPORT
Re:
Re::-)
Re:Attention
Re:Daily Report
Re:Do you love me
Re:EXCEL
Re:Email verification
Re:Excuse me
Re:Fw:
Re:Hello
Re:Hey!
Re:IMPORTANT
Re:Iwpckvxhdaeltlcbe
Re:Jessica
Re:Kate
Re:MISSED
Re:Melissa
Re:Micro$oft
Re:My details
Re:Registration
Re:Response
Re:SEE YOU SOON
Re:Spreadsheet
Re:Stuff
Re:THANKS!
Re:Thanks
Re:Warning
Re:We're unable to process your request
Re:Your account details
Re:Your account is about to be expired
Re:Your chance
Re:Your letter
Re:Your profile
Re:Your request
Re:hello
Re:hi! :)
Re:price
Re:price list
Re:rzxtddxe
Re:your music
Re:zgphyjbmzgdhvdxd
Registration
Registration rejected
Reply
Response
Returned mail:Auto-reply
Returned mail:Automatic notification
Returned mail:Dear friend!
Returned mail:HEY
Returned mail:HI! :)
Returned mail:Hello my friend
Returned mail:How are you?
Returned mail:I need you
Returned mail:Please read
Returned mail:Qbjmnief
Returned mail:Thanks
Returned mail:Your request
Returned mail:i need you
Returned mail:kate
Returned mail:kleopatra
Returned mail:price-list
Returned mail:question
Returned mail:we're experiencing technical problems
See you
See you soon
Service
Thank you
Thanks
Ualsuldpfrjumvyxy
Udjdymwqvvmeafi
Warning
We're experiencing technical problems
We're unable to process your request
Whgdntglveiegqq
YOUR LETTER
Ybopmoamkn
You have been successfully registered
Your account details
Your account is about to be expired
Your account is expired
Your details
Your document
Your letter
Your request
Yxnjavcg
ZKAPMWKAUKA
Ztjikhauq
anna
corrupted
do you love me
from me
fw:
greetings
hello! :)
here
hey!
hi!
hi! :)
important
just some stuff
melissa
mwzuhypsdaqdbab
my photos
netzzkovartbw
ormyhkq
pamela
photo
price
spreadsheet
verification
we're unable to process your request
your account
vissza...

A tárgy mezője lehet üres is.

Melléklet

A féreg által elküldött e-mail mellékletének nevét több részből szerkeszti össze.

A féreg által elküldött e-mailben szereplő melléklet nevének első részét az alábbi szavakból állítja össze:

attachment
attachment_

A féreg által elküldött e-mailben szereplő melléklet nevének második részét véletlenszerű számjegyekből állítja össze.

A féreg által elküldött e-mail mellékletének kiterjesztése lehet:

.pif
.zip

Támadás az interneten

Sok vírus, féreg képes arra, hogy az interneten támadást indítson más számítógépek ellen, lehetetlenné téve azok használatát.

A Win32/Mydoom.G féreg az alábbi webcímek ellen indít támadást:

www.symantec.com
symantec.com
www.microsoft.com
riaa.com
www.riaa.com
microsoft.com

A féreg DoS támadást hajt végre, melyhez HTTP protokolt használ.

Egyebek

A kártékony programok programozói az elkészült kódban üzeneteket, képeket helyezhetnek el, melyeket általában valamilyen formában titkosítanak. A vírusok, programférgek és egyéb kártevők programkódjában sok esetben találunk jellegzetes szövegeket, amelyekben vagy a vírus készítőjének szignóját tisztelhetjük, vagy a vírus működéséhez felhasznált jellemző szövegrészeket (fájl és könyvtárnevek stb.). E szövegek nem mindig ismerhetők fel közvetlenül, többnyire csak a kódolt vírusprogram dekódolásával válnak láthatóvá és olvashatóvá.

A Win32/Mydoom.G féreg programkódjában szereplő, de soha meg nem jelenő szöveg(ek):

to netsky's creator(s): imho, skynet is a decentralized peer-to-peer neural network. we have seen P2P in Slapper in Sinit only. they may be called skynets, but not your shitty app.