Главная » Публикации » Новый опасный вирус! I-Worm.Mydoom.q

Новый опасный вирус! I-Worm.Mydoom.q

"Лаборатория Касперского" сообщает об увеличении числа перехватов почтового червя I-Worm.Mydoom.q. Червь распространяется через интернет в виде вложений в зараженные электронные письма.
Червь написан на языке Microsoft Visual C++. Упакован UPX.

Размер в упакованном виде - 27136 байт, в распакованном - 65024 байта.
Червь запускается только в случае запуска пользователем вложения из полученного зараженного письма.

После своего запуска червь копирует себя в каталог Windows под именем "rasor38a.dll" и в системный каталог Windows под именем "winpsd.exe".
Червь регистрирует файл "winspd.exe" в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"winpsd"="winpsd.exe"

Для рассылки зараженных писем червь ищет email-адреса на жестких дисках зараженного компьютера в файлах с расширениями:
Зараженное червем письмо имеет следующие характеристики:
Заголовок письма:
photos

Текст письма:
LOL!;))))
Имя вложения:
photos_arc.exe
Червь пытается загрузить на зараженный компьютер программу удаленного администрирования Backdoor.Win32.Surila.g. В случае успешной загрузки, файл сохраняется в каталоге Windows под именем "winvpn32.exe" и запускается.

Механизмы размножения данной версии червя прекратят работу 20 августа 2004 года после 21:11:11, однако установленный на зараженном компьютере backdoor останется работоспособным.
Алгоритмы детектирования I-Worm.Mydoom.q были добавлены в базу данных Антивируса Касперского утром 16 августа по московскому времени.

Более подробное описание червя опубликовано в "Вирусной энциклопедии".

http://www.viruslist.com/viruslist.html?id=145693919