украинский антивирусный центр
новости


Название

I-Worm.NoDoom (Moodown, Netsky)

Тип

Почтовый червь

Платформа

Win95/98/ME/NT/2000/XP

I-Worm.NoDoom.b

    Почтовый червь, который размножается в виде писем с присоединёнными файлами, содержащими тело червя. Размер файла, содержащего червь, 22016 байт. Червь написан на MS C++ и упакован утилитой сжатия файлов UPX.

    После запуска червь создаёт в папке Windows файл SERVICES.EXE, который является копией червя. В реестре создаётся ключ, запускающий автоматически червя при каждой загрузке операционной системы:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
services = "%WinDir%\services.exe -serv"
В памяти создаётся Mutex с именем "AdmSkynetJklS003", который является флагом присутствия вируса в памяти.

    При первом запуске червь отображает на экране следующее сообщение:

    Далее червь создаёт свои копии, перебирая все диски от C: до Z:, при этом имя файла выбирается из списка:

  • doom2.doc.pif
  • sex sex sex sex.doc.exe
  • rfc
  • compilation.doc.exe
  • dictionary.doc.exe
  • win longhorn.doc.exe
  • e.book.doc.exe
  • programming basics.doc.exe
  • how to hack.doc.exe
  • max payne 2.crack.exe
  • e-book.archive.doc.exe
  • virii.scr
  • nero.7.exe
  • eminem - lick my pussy.mp3.pif
  • cool screensaver.scr
  • serial.txt.exe
  • office_crack.exe
  • hardcore porn.jpg.exe
  • angels.pif
  • porno.scr
  • matrix.scr
  • photoshop 9 crack.exe
  • strippoker.exe
  • dolly_buster.jpg.pif
  • winxp_crack.exe

    

Распространение по электронной почте

    I-Worm.NoDoom рассылает себя по электронной почте. Адреса для рассылки собираются из файлов с расширениями msg, oft, sht, dbx, tbb, adb, doc, wab, asp, uin, rtf, vbs, html, htm, pl, php, txt, eml.

    Содержимое создаваемых писем формируется следующим образом: Поле Тема выбираются из следующего списка:

  • something for you
  • read it immediately
  • hello
  • hi
Тело письма выбираются из следующего списка:
  • something is fool
  • something is going wrong
  • you are bad you try to steal
  • you feel the same
  • you earn money
  • thats wrong why?
  • take it easy
  • reply
  • do you? that's funny
  • here, the cheats
  • here, the introduction
  • here, the serials
  • from the chatter
  • about me
  • information about you
  • something is going wrong!
  • stuff about you?
  • greetings
  • see you
  • here it is
  • that is bad
  • yes, really?
  • i found this document about you
  • your name is wrong
  • i hope it is not true!
  • kill the writer of this document!
  • something about you!
  • I have your password!
  • you are a bad writer
  • is that from you?
  • i wait for a reply! is that your account?
  • is that your name?
  • is that true?
  • here
  • my hero read it immediately!
  • here is the document.
  • read the details.
  • i'm waiting
  • ok
  • what does it mean?
  • anything ok?
Имя присоединённого файла формируется следующим образом: имя файла выбирается из списка
  • misc
  • party
  • disco
  • part2
  • mail2
  • object
  • ranking
  • dinner
  • release
  • final
  • location
  • jokes
  • friend
  • website
  • mails
  • story
  • found
  • nomoney
  • aboutyou
  • shower
  • ps
  • topseller
  • product
  • swimmingpool
  • bill
  • note
  • concert
  • textfile
  • posting
  • stuff
  • me
  • attachment
  • details
  • creditcard
  • message
  • talk
  • doc
  • msg
  • document
  • unknown
  • fake
  • stolen
  • information
  • warning
а расширение присоединяемого файла может быть одно из следующих: PIF, COM, SCR, EXE.

    Червь содержит в себе процедуры удаления почтовых червей I-Worm.Novarg и I-Worm.Novarg.b (MyDoom), за что и получил своё название.

I-Worm.NoDoom.d

    После запуска остаётся в памяти резидентно и копирует себя в папку Windows с именем WINLOGON.EXE (оригинальный WINLOGON файл находится в папке Windows\System32). В реестре создаёт следующий ключ:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ICQ Net = "%WinDor%\winlogon.exe -stealth"

    При рассылке по электронной почте письмо строится следующим образом:

  • Тема письма:
    • Your file is attached.
    • Please read the attached file.
    • Please have a look at the attached file.
    • See the attached file for details.
    • Here is the file.
    • Your document is attached.
    • Re: Your website
    • Re: Your product
    • Re: Your letter
    • Re: Your archive
    • Re: Your text
    • Re: Your bill
    • Re: Your details
    • Re: My details
    • Re: Word file
    • Re: Excel file
    • Re: Details
    • Re: Approved
    • Re: Your software
    • Re: Your music
    • Re: Here
    • Re: Re: Re: Your document
    • Re: Hello
    • Re: Hi
    • Re: Re: Message
    • Re: Your picture
    • Re: Here is the document
    • Re: Your document
    • Re: Thanks!
    • Re: Re: Thanks!
    • Re: Re: Document
    • Re: Document
  • Содержимое письма:
    • Your file is attached.
    • Please read the attached file.
    • Please have a look at the attached file.
    • See the attached file for details.
    • Here is the file.
    • Your document is attached.
  • Имя присоединённого файла:
    • your_website.pif
    • your_product.pif
    • your_letter.pif
    • your_archive.pif
    • your_text.pif
    • your_bill.pif
    • your_details.pif
    • document_word.pif
    • document_excel.pif
    • my_details.pif
    • all_document.pif
    • application.pif
    • mp3music.pif
    • yours.pif
    • document_4351.pif
    • your_file.pif
    • message_details.pif
    • your_picture.pif
    • document_full.pif
    • message_part2.pif
    • document.pif
    • your_document.pif

    Данная модификация удаляет из реестра ключи автоматического запуска большого количества почтовых червей (включая I-Worm.Novarg, I-Worm.Novarg.b, I-Worm.NoDoom.a, I-Worm.NoDoom.b, а также ряд других червей).

    

Другие функции

    Если системная дата на компьютере равна 2 Марта 2004 года, то червь издаёт стандартный звуковой сигнал Beep.
    В теле I-Worm.NoDoom.d содержится следующая текстовая строка: be aware! Skynet.cz - -->AntiHacker Crew<--.

    

главная - украинский антивирусный центр
© 1999-2004. Украинский Антивирусный Центр.
Правила использования материалов сайта
Una-Center

Украiнська

English