PDA

Просмотр полной версии : Новая разновидность MyDoom



Зайцев Олег
26.10.2004, 23:52
Сегодня пошла эпидемия нового вируса MyDoom, у нас в почте их десятки. Новая разновидность не детектируется Касперским, но опознается остальными антивирусами:
BitDefender 7.0 10.26.2004 Win32.Swash.A@mm
ClamWin devel-20041018 10.26.2004 Worm.Mydoom.Gen-unp
eTrust-Iris 7.1.194.0 10.26.2004 Win32/Mydoom.Variant.Worm
F-Prot 3.15b 10.26.2004 W32/Mydoom.AG@mm
Kaspersky 4.0.2.24 10.26.2004 -
NOD32v2 1.906 10.25.2004 Win32/Swash.A
Norman 5.70.10 10.25.2004 W32/P2PWorm
Panda 7.02.00 10.26.2004 W32/Mydoom.gen.worm
Sybari 7.5.1314 10.26.2004 I-Worm.Mydoom.AF
Symantec 8.0 10.26.2004 W32.Mydoom.AG@mm

Червяк рассылает себя классическим способом - генерируется крисивое HTML письмо (у нас вариант с заголовком "Server Report" и текстом "Attention! Your IP was logged by The Internet Fraud Complaint Center. Your IP was logged by The Internet Fraud Complaint Center. There was a fraud attempt logged by The Internet Fraud Complaint Center from your IP. This is a serious crime, so all records was sent to the FBI.
All information you can find in the attachment. Your IP was flagged and if there will be anover attemption you will be busted.", к письму прикреплен архив zip, в котором находися сам червь с двойным расширением (message.txt <куча проболов>.exe) и иконкой, имитирующей текстовый документ.
Червь имеет размер 31744 байта, сжат UPX 1.07. Неупакованный размер составляет 73728 байта. В остальном червь является одним из вариантов линейки MyDoom.
----
Пришел ответ от Касперского - я им послал образец - они окрестили его I-Worm.Mydoom.ab - у них на сайте вывешено предупреждение о его эпидемии, но AVP по прежнему его не ловит :(

pig
27.10.2004, 02:43
Странно. У меня ещё днём один экземпляр тормознулся на почтовом сервере. Доктор сказал, что это MyDoom.2. Я проверил ещё и AVP (3.0/129), он сразу распознал MyDoom.ab

Наверное, этот проверяльщик (virustotal?) использует левую инсталляцию KAV и не торопится её обновлять.

Зайцев Олег
27.10.2004, 08:43
Странно. У меня ещё днём один экземпляр тормознулся на почтовом сервере. Доктор сказал, что это MyDoom.2. Я проверил ещё и AVP (3.0/129), он сразу распознал MyDoom.ab

Наверное, этот проверяльщик (virustotal?) использует левую инсталляцию KAV и не торопится её обновлять.

Нет, это другая подразновидность MyDoom.ab - Касперский вносил изменения в базы для него - это две подразновидности червя