|
Название
|
I-Worm.NoDoom (Moodown, Netsky)
|
|
Тип
|
Почтовый червь
|
|
Платформа
|
Win95/98/ME/NT/2000/XP
|
I-Worm.NoDoom.b
Почтовый червь, который размножается в виде писем с присоединёнными файлами, содержащими тело червя. Размер файла, содержащего червь, 22016 байт. Червь написан на MS C++ и упакован утилитой сжатия файлов UPX.
После запуска червь создаёт в папке Windows файл SERVICES.EXE, который является копией червя. В реестре создаётся ключ, запускающий автоматически червя при каждой загрузке операционной системы:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
services = "%WinDir%\services.exe -serv"
В памяти создаётся Mutex с именем "AdmSkynetJklS003", который является флагом присутствия вируса в памяти.
При первом запуске червь отображает на экране следующее сообщение:
Далее червь создаёт свои копии, перебирая все диски от C: до Z:, при этом имя файла выбирается из списка:
- doom2.doc.pif
- sex sex sex sex.doc.exe
- rfc
- compilation.doc.exe
- dictionary.doc.exe
- win longhorn.doc.exe
- e.book.doc.exe
- programming basics.doc.exe
- how to hack.doc.exe
- max payne 2.crack.exe
- e-book.archive.doc.exe
- virii.scr
- nero.7.exe
- eminem - lick my pussy.mp3.pif
- cool screensaver.scr
- serial.txt.exe
- office_crack.exe
- hardcore porn.jpg.exe
- angels.pif
- porno.scr
- matrix.scr
- photoshop 9 crack.exe
- strippoker.exe
- dolly_buster.jpg.pif
- winxp_crack.exe
Распространение по электронной почте I-Worm.NoDoom рассылает себя по электронной почте. Адреса для рассылки собираются из файлов с расширениями msg, oft, sht, dbx, tbb, adb, doc, wab, asp, uin, rtf, vbs, html, htm, pl, php, txt, eml.
Содержимое создаваемых писем формируется следующим образом: Поле Тема выбираются из следующего списка:
- something for you
- read it immediately
- hello
- hi
Тело письма выбираются из следующего списка:
- something is fool
- something is going wrong
- you are bad you try to steal
- you feel the same
- you earn money
- thats wrong why?
- take it easy
- reply
- do you? that's funny
- here, the cheats
- here, the introduction
- here, the serials
- from the chatter
- about me
- information about you
- something is going wrong!
- stuff about you?
- greetings
- see you
- here it is
- that is bad
- yes, really?
- i found this document about you
- your name is wrong
- i hope it is not true!
- kill the writer of this document!
- something about you!
- I have your password!
- you are a bad writer
- is that from you?
- i wait for a reply! is that your account?
- is that your name?
- is that true?
- here
- my hero read it immediately!
- here is the document.
- read the details.
- i'm waiting
- ok
- what does it mean?
- anything ok?
Имя присоединённого файла формируется следующим образом: имя файла выбирается из списка
- misc
- party
- disco
- part2
- mail2
- object
- ranking
- dinner
- release
- final
- location
- jokes
- friend
- website
- mails
- story
- found
- nomoney
- aboutyou
- shower
- ps
- topseller
- product
- swimmingpool
- bill
- note
- concert
- textfile
- posting
- stuff
- me
- attachment
- details
- creditcard
- message
- talk
- doc
- msg
- document
- unknown
- fake
- stolen
- information
- warning
а расширение присоединяемого файла может быть одно из следующих: PIF, COM, SCR, EXE.
Червь содержит в себе процедуры удаления почтовых червей I-Worm.Novarg и I-Worm.Novarg.b (MyDoom), за что и получил своё название.
I-Worm.NoDoom.d
После запуска остаётся в памяти резидентно и копирует себя в папку Windows с именем WINLOGON.EXE (оригинальный WINLOGON файл находится в папке Windows\System32). В реестре создаёт следующий ключ:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ICQ Net = "%WinDor%\winlogon.exe -stealth"
При рассылке по электронной почте письмо строится следующим образом:
-
Тема письма:
- Your file is attached.
- Please read the attached file.
- Please have a look at the attached file.
- See the attached file for details.
- Here is the file.
- Your document is attached.
- Re: Your website
- Re: Your product
- Re: Your letter
- Re: Your archive
- Re: Your text
- Re: Your bill
- Re: Your details
- Re: My details
- Re: Word file
- Re: Excel file
- Re: Details
- Re: Approved
- Re: Your software
- Re: Your music
- Re: Here
- Re: Re: Re: Your document
- Re: Hello
- Re: Hi
- Re: Re: Message
- Re: Your picture
- Re: Here is the document
- Re: Your document
- Re: Thanks!
- Re: Re: Thanks!
- Re: Re: Document
- Re: Document
-
Содержимое письма:
- Your file is attached.
- Please read the attached file.
- Please have a look at the attached file.
- See the attached file for details.
- Here is the file.
- Your document is attached.
-
Имя присоединённого файла:
- your_website.pif
- your_product.pif
- your_letter.pif
- your_archive.pif
- your_text.pif
- your_bill.pif
- your_details.pif
- document_word.pif
- document_excel.pif
- my_details.pif
- all_document.pif
- application.pif
- mp3music.pif
- yours.pif
- document_4351.pif
- your_file.pif
- message_details.pif
- your_picture.pif
- document_full.pif
- message_part2.pif
- document.pif
- your_document.pif
Данная модификация удаляет из реестра ключи автоматического запуска большого количества почтовых червей (включая I-Worm.Novarg, I-Worm.Novarg.b, I-Worm.NoDoom.a, I-Worm.NoDoom.b, а также ряд других червей).
Другие функции Если системная дата на компьютере равна 2 Марта 2004 года, то червь издаёт стандартный звуковой сигнал Beep.
В теле I-Worm.NoDoom.d содержится следующая текстовая строка: be aware! Skynet.cz - -->AntiHacker Crew<--.
|
--новости--продукты--поддержка--скачать--купить--сертификация--una-center--партнеры--контакты--
--новости--продукты--поддержка--скачать--купить--сертификация--una-center--партнеры--контакты--
