18.02.2004 Исходники Mydoom дают первые плоды

    Украинский Антивирусный Центр, разработчик комплексных систем антивирусной защиты, сообщает о начале эпидемии нового червя I-Worm.Moodown.b (также известный как Nodoom.b, Netsky.b). Данный червь был написан с использованием исходных кодов червя Mydoom/Novarg.

    Червь I-Worm.Moodown.b (Nodoom.b, Netsky.b) представляет угрозу для компьютеров с ОС Windows 9х/2000/Me/NТ/XP. Данный червь распространяется по электронной почте в виде вложенного файла с двойным расширением. Размер файла, содержащего червь, составляет 22016 байт.

    Тема, текст письма, а также имя вложенного файла формируются из указанного списка.

    Почтовый червь, который размножается в виде писем с присоединёнными файлами, содержащими тело червя. Размер файла, содержащего червь, 22016 байт. Червь написан на MS C++ и упакован утилитой сжатия файлов UPX.

    После запуска червь создаёт в папке Windows файл SERVICES.EXE, который является копией червя. В реестре создаётся ключ, запускающий автоматически червя при каждой загрузке операционной системы:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
services = "%WinDir%\services.exe -serv"

    При первом запуске червь отображает на экране следующее сообщение:

    Антивирусной лабораторией Украинского Антивирусного Центра выпущены и доступны для пользователей модули детектирования и обезвреживания данного червя.

    Полное техническое описание доступно в сервисе Viruses TOP-10