Направо към съдържанието

Mydoom

от Уикипедия, свободната енциклопедия

Mydoom, познат още като Novarg, Worm.SCO, Mimail.R и Shimgapi, е компютърен вирус тип червей, който заразява компютри, използващи операционната система Microsoft Windows. За първи път е бил забелязан на 26 януари 2004, като към януари 2004 представлява най-бързо разпространяващия се червей, изпреварвайки дори червея Sobig.

Mydoom се разпространява най-често чрез електронната поща, като писмата имат заглавия от рода на: „Hi“, „Test“, „Error“, „Mail Delivery System“, „Delivery Status Notification“, „Server Report“ или „Mail Transaction Failed“ на различни езици (английски, френски, немски и др.). Червеят съдържа прикачен файл, който ако се изпълни, инсталира вируса, който след това претърсва файловете за електронни адреси и се разпраща на всеки един от тях. За да увеличи шанса си за разпространение, червеят се копира и в споделенатата папка на програмата за обмяна на файлове KaZaA.

Mydoom избягва да се изпраща на адреси на определени университети като Rutgers, MIT, Stanford and UC Berkeley, както и на някои фирми като Microsoft и Symantec. Отначало се твърдеше, че той избягва всички адреси с разширение.edu, но това се оказа погрешно.

Първоначалната версия на червея, Mydoom.A, заразява компютрите по два начина:

  • отваря т.нар. backdoor (задна врата), позволяваща отдалечен контрол върху заразения компютър (чрез поставяне на файла SHIMGAPI.DLL в папката system32 и неговото извикване като подпроцес на Windows Explorer);
  • подготвя DoS-атака (атака отказ на услуга) срещу сайта на фирмата SCO Group, която започва на 1 февруари 2004.

Втората версия, наречена Mydoom.B, атакува сайта на Microsoft, както и блокира достъпа към сайтовете на Microsoft и известни антивирусни производители, като по този начин пречи на актуализирането на антивирусните програми.

Първоначалните анализи предполагат, че Mydoom е вариант на червея Mimail – оттук и алтернативното име Mimail.R. Това води до предположението, че същите хора са отговорни и за двата червея. По-късните анализи обаче не са така убедителни, че съществува връзка между вирусите.

Червеят съдържа съобщението: „andy; I'm just doing my job, nothing personal, sorry“ (Анди, аз просто си върша работата, нищо лично, съжалявам), което е предизвикало спекулации, дали авторът на червея не е работил срещу заплащане за създаването му. Други (в частност SCO Group) спекулират, че атаката е била предизвикана:

  • от защитници на Линукс и движението за отворен код в отговор на действията на SCO Group,
  • от самата SCO Group с цел спечелването на повече симпатия от обществото или
  • от спамъри, целящи разпращането на рекламни писма от заразените компютри.
  • 26 януари 2004: Вирусът Mydoom е забелязан за пръв път около 15 часа българско време. Първите съобщения са от Русия. За период от няколко часа изключително бързото разпространение на червея предизвиква забавяне с около 10% на движението по интернет и с около 50% на зареждането на страниците. Фирми по сигурността докладват, че по това време всяко десето писмо е заразено.
Въпреки че DoS-атаките на Mydoom са били запланувани за 1 февруари 2004, сайтът на SCO Group е свален само няколко часа след появата на червея. Не е ясно дали именно Mydoom е отговорен за това. Срещу сайта на SCO Group вече имаше няколко DoS-атаки още през 2003, които не бяха свързани с вируси.
  • 27 януари: SCO Group предлага 250 000 щатски долара награда за информация, която би позволила залавянето на създателя на червея. В Щатите ФБР и тайните служби започват разследване на вируса.
  • 28 януари: Открита е втора версия на червея. Първите съобщения, изпратени от Mydoom.B, се появяват около 16 часа българско време и също идват от Русия. Новата версия включва оригиналната DoS-атака срещу SCO Group и още една атака срещу microsoft.com, която трябва да започне на 3 февруари 2004. Mydoom.B също блокира достъпа към сайтове на около 60 антивирусни производителя, както и рекламните прозорци (pop-up) от DoubleClick и други подобни фирми.
Докладва се, че всяко пето писмо в мрежата е заразено с Mydoom.
  • 29 януари: Противно на очакванията, разпространението на Mydoom се забавя поради грешки в кода Mydoom.B. Microsoft също предлага 250 000 долара награда за информация за залавянето на създателя на Mydoom.B.
  • 12 февруари: Mydoom.A е програмиран да спре разпространението си. Задната врата (backdoor), създадена от Mydoom.A, все пак остава отворена.
  • 1 март: Mydoom.B е програмиран да спре разпространението си; както и при Mydoom.A, задната врата остава отворена.