Показано с 1 по 1 из 1.

W32.Mydoom.AH@mm

  1. #1
    Geser
    Guest

    W32.Mydoom.AH@mm


    W32.Mydoom.AH@mm - это червь массовой рассылки, который эксплуатирует уязвимость удаленного переполнения буфера в Microsoft Internet Explorer в тэге IFRAME. Распространяется червь, рассылая себя по email адресам, которые найдет на зараженном компьютере.
    При запуске W32.Mydoom.AH@mm выполняет следующие действия:

    1. Создает файл %System%\[random name]32.exe.

    2. Добавляет значение:


    "Reactor5" = "%System%\[random name]32.exe"
    в ключ реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run
    3. Может создать следующие ключи реестра:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
    Explorer\ComExplore
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
    Explorer\ComExplore\Version
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
    Explorer\ComExplore
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
    Explorer\ComExplore\Version
    4. Удаляет следующие значения:

    # center
    # reactor
    # Rhino
    # Reactor3
    # Reactor4
    из ключа реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    5. Пытается внедрить свой код в качестве потока в любой процесс с window class name "Shell_TrayWnd" или в любой запущенный высокоприоритетный процесс. Если это червю удалось, то он продолжает выполняться внутри зараженного процесса. Все действия, описываемые в следующих пунктах выполняет зараженный процесс, а червь становится невидимым в списке процессов в Windows Task Manager. Если червю не удалось внедрить свой код, то он продолжает выполнятьтся как собственный процесс.
    6. Собирает email адреса из Windows address book и из файлов с расширениями:

    # .txt
    # .htmb
    # .shtl
    # .phpq
    # .aspd
    # .dbxn
    # .tbbg
    # .adbh
    # .pl
    # .wab
    7. Использует собственный SMTP механизм для того, чтобы разослать себя по найденным email адресам.
    8. Открывает 1639 TCP порт для команд.

    9. Пытается соединиться со следующими IRC серверами по 6667 TCP порту:

    # broadway.ny.us.dal.net
    # brussels.be.eu.undernet.org
    # caen.fr.eu.undernet.org
    # ced.dal.net
    # coins.dal.net
    # diemen.nl.eu.undernet.org
    # flanders.be.eu.undernet.org
    # graz.at.eu.undernet.org
    # london.uk.eu.undernet.org
    # los-angeles.ca.us.undernet.org
    # lulea.se.eu.undernet.org
    # ozbytes.dal.net
    # qis.md.us.dal.net
    # vancouver.dal.net
    # viking.dal.net
    # washington.dc.us.undernet.org
    10. Прекращает работу 16-го декабря 2004 года.
    securitylab.ru/49361.html

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Новый Mydoom использует еще не ликвидированную Microsoft брешь в IE
    От Geser в разделе Вредоносные программы
    Ответов: 0
    Последнее сообщение: 10.11.2004, 08:05
  2. Новая разновидность MyDoom
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 2
    Последнее сообщение: 27.10.2004, 09:43

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00221 seconds with 19 queries