Mydoom

Mydoom , который также известно как W32.MyDoom@mm , Novarg , Mimail.R и Shimgapi , является компьютерным червем затрагивающего Microsoft Windows . Впервые он был обнаружен 26 января 2004 года. Он стал самым быстрораспространяющимся почтовым червем за всю историю, превзойдя предыдущие рекорды, установленные червем Sobig и ILOVEYOU , рекорд, который по состоянию на 2021 год еще предстоит превзойти. ^[1]

Mydoom, похоже, был заказан спамерами электронной почты для рассылки нежелательной почты через зараженные компьютеры. ^[2] Червь содержит текстовое сообщение «Энди, я просто делаю свою работу, ничего личного, извините», что наводит многих на мысль, что создателю червя заплатили. Вначале несколько охранных фирм выразили уверенность в том, что червь был создан программистом из России. Настоящий автор червя неизвестен.

Согласно предварительным спекулятивным сообщениям, единственной целью червя было совершение распределенной атаки типа «отказ в обслуживании» против SCO Group . 25% хостов, зараженных Mydoom.A, нацелились на SCO Group с потоком трафика. Предположение торговой прессы, вызванное собственными заявлениями SCO Group, гласило, что это означает, что червь был создан сторонником Linux или сторонником открытого исходного кода в ответ на спорные судебные действия и публичные заявления SCO Group против Linux. Эта теория была немедленно отвергнута исследователями безопасности. С тех пор он также был отклонен сотрудниками правоохранительных органов, расследующими вирус, которые приписывают его действиям организованных преступных онлайн-банд.

Первоначальный анализ Mydoom показал, что это была разновидность червя Mimail - отсюда и альтернативное название Mimail.R - вызвав предположение, что за обоих червей ответственны одни и те же люди. Более поздние исследования были менее убедительными в отношении связи между двумя червями.

Имя Mydoom дал Крейг Шмугар, сотрудник фирмы McAfee , занимающейся компьютерной безопасностью, и один из первых первооткрывателей червя. Шмугар выбрал имя после того, как заметил текст «mydom» в строке кода программы. Он отметил: «С самого начала было очевидно, что это будет очень важно. Я подумал, что слово« гибель »в названии будет уместным». ^[3]

Технический обзор [ править ]

Mydoom в основном передается по электронной почте , что проявляется в виде ошибки передачи, причем в строках темы указываются «Ошибка», «Система доставки почты», «Тест» или «Сбой почтовой транзакции» на разных языках, включая английский и французский. Письмо содержит вложение, которое при выполнении повторно отправляет червя на адреса электронной почты, найденные в локальных файлах, таких как адресная книга пользователя. Он также копирует себя в «общую папку» однорангового приложения для обмена файлами Kazaa в попытке распространиться таким образом.

Mydoom избегает нацеливания на адреса электронной почты в определенных университетах, таких как Rutgers , MIT , Stanford и UC Berkeley , а также в некоторых компаниях, таких как Microsoft и Symantec . В некоторых ранних сообщениях утверждалось, что червь избегает всех адресов .edu , но это не так.

Исходная версия Mydoom.A описывается как несущая две полезные нагрузки :

Бэкдор на порт 3127 / TCP , чтобы разрешить удаленное управление извращаться ПК (путем ввода его собственный файл SHIMGAPI.DLL в каталоге system32 и запускает его в качестве дочернего процесса в проводнике Windows ); по сути, это тот же бэкдор, который использует Mimail .
Отказ в обслуживании нападения на сайт спорной компании SCO Group , приуроченном начаться 1 февраль 2004 г. Многих вирусных аналитиков сомневались , если эта нагрузка будет на самом деле функция. Более позднее тестирование показывает, что он работает только в 25% зараженных систем.

Вторая версия, Mydoom.B , помимо исходной полезной нагрузки, также нацелена на веб-сайт Microsoft и блокирует доступ к сайтам Microsoft и популярным онлайн- антивирусным сайтам, изменяя файл hosts , тем самым блокируя инструменты удаления вирусов или обновления антивирусного программного обеспечения. Меньшее количество экземпляров этой версии в обращении означало, что серверы Microsoft мало пострадали. ^[4]^[5]

Хронология [ править ]

26 января 2004 г .: вирус Mydoom впервые был обнаружен около 8 часов утра по восточному стандартному времени (13:00 UTC), как раз перед началом рабочего дня в Северной Америке. Самые ранние сообщения исходят из России. В течение нескольких часов в полдень быстрое распространение червя снижает общую производительность Интернета примерно на десять процентов, а среднее время загрузки веб-страниц - примерно на пятьдесят процентов. Компании, занимающиеся компьютерной безопасностью, сообщают, что Mydoom в настоящее время отвечает примерно за одно из десяти сообщений электронной почты.

Хотя Doom-атака типа «отказ в обслуживании» должна была начаться 1 февраля 2004 года, веб-сайт SCO Group ненадолго отключился через несколько часов после первого распространения червя. Неясно, был ли виноват в этом Mydoom. SCO Group заявила, что в 2003 году она стала целью нескольких распределенных атак типа «отказ в обслуживании» , не связанных с компьютерными вирусами.

27 января 2004 г .: Группа SCO предлагает вознаграждение в размере 250 000 долларов США за информацию, ведущую к аресту создателя червя. В США ФБР и Секретная служба начинают расследование червя.
28 января 2004 г .: Вторая версия червя обнаружена через два дня после первой атаки. Первые сообщения, отправленные Mydoom.B, были идентифицированы примерно в 14:00 по всемирному координированному времени и, по всей видимости, также были отправлены из России. Новая версия включает оригинальную атаку отказа в обслуживании против SCO Group и идентичную атаку, нацеленную на Microsoft.com, начиная с 3 февраля 2004 года; однако предполагается, что обе атаки либо взломаны, либо нефункциональный код-ловушка, предназначенный для сокрытия бэкдорной функции Mydoom. Mydoom.B также блокирует доступ к веб-сайтам более 60 компаний, занимающихся компьютерной безопасностью, а также к всплывающей рекламе, предоставляемой DoubleClick и другими маркетинговыми компаниями в Интернете.

Распространение пиков MyDoom; Компании, занимающиеся компьютерной безопасностью, сообщают, что Mydoom в настоящее время отвечает примерно за каждое пятое сообщение электронной почты.

29 января 2004: Распространение Mydoom начинает снижаться, поскольку ошибки в коде Mydoom.B не позволяют ему распространяться так быстро, как ожидалось. Microsoft предлагает вознаграждение в размере 250 000 долларов США за информацию, ведущую к аресту создателя Mydoom.B.
1 февраля 2004 г .: Примерно один миллион компьютеров по всему миру, зараженных Mydoom, начинают массовую распределенную атаку типа «отказ в обслуживании» - самую крупную подобную атаку на сегодняшний день. Поскольку 1 февраля прибывает в Восточную Азию и Австралию, SCO удаляет www.sco.com из DNS около 17:00 по всемирному координированному времени 31 января. (Пока нет независимого подтверждения того, что www.sco.com действительно страдает от запланированного DDOS.)
3 февраля 2004 г. Начинается распределенная атака отказа в обслуживании Mydoom.B на Microsoft, к которой Microsoft готовится, предлагая веб-сайт information.microsoft.com, который не будет затронут червем. ^[6] Однако влияние атаки остается минимальным, и www.microsoft.com остается работоспособным. Это связано со сравнительно низким распространением варианта Mydoom.B, высокой устойчивостью к нагрузке веб-серверов Microsoft и мерами предосторожности, принятыми компанией. Некоторые эксперты отмечают, что эта нагрузка меньше, чем при обновлении программного обеспечения Microsoft и других подобных веб-службах.
9 февраля 2004 г .: Doomjuice, «паразитический» червь, начинает распространяться. Этот червь использует для распространения черный ход, оставленный Mydoom. Не атакует незараженные компьютеры. Его полезная нагрузка, аналогичная одной из Mydoom.B, представляет собой атаку отказа в обслуживании против Microsoft. ^[7]
12 февраля 2004: Mydoom.A запрограммирован на прекращение распространения. Однако после этой даты бэкдор остается открытым.
1 марта 2004: Mydoom.B запрограммирован на прекращение распространения; как и в случае с Mydoom.A, бэкдор остается открытым.
26 июля 2004 г .: один из вариантов Mydoom атакует Google , AltaVista и Lycos , полностью останавливая работу популярной поисковой системы Google на большую часть рабочего дня и вызывая заметное замедление работы движков AltaVista и Lycos на несколько часов.
10 сентября 2004: Появляются версии MyDoom U, V, W и X, вызывая опасения по поводу того, что готовится новый, более мощный MyDoom.
18 февраля 2005: Появляется MyDoom версия AO.
Июль 2009 г .: MyDoom снова появляется в результате кибератак в июле 2009 г., затронувших Южную Корею и США. ^[8]

См. Также [ править ]

Хронология компьютерных вирусов и червей

Ссылки [ править ]

^ «Охранная фирма: самый быстрый червь MyDoom» . CNN.com . Time Warner. 2004-01-28.
^ Тирнан Рэй (2004-02-18). «Почтовые вирусы обвиняют в резком росте спама» . Сиэтл Таймс . Компания "Сиэтл Таймс".
^ "Еще гибель?" . Newsweek . Компания Вашингтон Пост . 2004-02-03.
^ "Mydoom вирус начинает выдыхаться" . BBC News . BBC. 2004-02-04.
^ https://abcnews.go.com/Technology/ZDM/story?id=97385
^ «Информация Microsoft: MyDoom (Архив Wayback от 4 февраля 2004 г.)» . microsoft.com . 2004-02-04. Архивировано 4 февраля 2004 года.CS1 maint: неподходящий URL ( ссылка )
^ "W32.HLLW . Doomjuice" . Symantec Corporation. 2007-02-13.
^ "Ленивый хакер и маленький червяк вызывают безумие кибервойны" . Проводные новости . 2009-07-08 . Проверено 9 июля 2009 .

Внешние ссылки [ править ]

MyDoom и DDoS-атаки
"Email-Worm.Win32.Mydoom.a" . Viruslist.com . Лаборатория Касперского. Архивировано из оригинала на 2006-10-15.
SCO предлагает вознаграждение за арест и осуждение автора вируса Mydoom - пресс-релиз SCO, 27 января 2004 г. Обратите внимание на заявление о том, что атака отказа в обслуживании уже началась в этот день.
"Mydoom" . Информационные страницы F-Secure Computer Virus . Корпорация F-Secure.
"Win32.Mydoom.A" . Советник по безопасности . Computer Associates International. Архивировано из оригинала на 2005-04-10 . Проверено 30 апреля 2005 .
Информация о черве Mydoom с сайта Symantec.com

[1] «Охранная фирма: самый быстрый червь MyDoom» . CNN.com . Time Warner. 2004-01-28.

[2] Тирнан Рэй (2004-02-18). «Почтовые вирусы обвиняют в резком росте спама» . Сиэтл Таймс . Компания "Сиэтл Таймс".

[3] "Еще гибель?" . Newsweek . Компания Вашингтон Пост . 2004-02-03.

[4] "Mydoom вирус начинает выдыхаться" . BBC News . BBC. 2004-02-04.

[5] ttps://abcnews.go.com/Technology/ZDM/story?id=97385

[6] «Информация Microsoft: MyDoom (Архив Wayback от 4 февраля 2004 г.)» . microsoft.com . 2004-02-04. Архивировано 4 февраля 2004 года.CS1 maint: неподходящий URL ( ссылка )

[7] "W32.HLLW . Doomjuice" . Symantec Corporation. 2007-02-13.

[Lazy_Hacker_and_Little_Worm_Set_Off_Cyberwar_Frenzy-8] "Ленивый хакер и маленький червяк вызывают безумие кибервойны" . Проводные новости . 2009-07-08 . Проверено 9 июля 2009 .

[1]