Mydoom - Mydoom

Mydoom, также известный как W32.MyDoom@mm, Новарг, Mimail.R и Шимгапи, это компьютерный червь влияющий Майкрософт Виндоус. Впервые он был обнаружен 26 января 2004 г. Он стал самым быстрораспространяющимся почтовым червем за всю историю (по состоянию на январь 2004 г.), превышая предыдущие рекорды, установленные Собиг червь и Я ТЕБЯ ЛЮБЛЮ, рекорд, который по состоянию на 2020 год еще предстоит превзойти.[1]

Mydoom, похоже, был заказан по электронной почте спамеры для рассылки нежелательной почты через зараженные компьютеры.[2] Червь содержит текстовое сообщение "Энди, я просто делаю свою работу, ничего личного, извини" заставило многих поверить в то, что создателю червя заплатили. Вначале несколько охранных фирм выразили уверенность в том, что червь был создан программистом из России. Настоящий автор червя неизвестен.

Спекулятивное раннее освещение гласило, что единственной целью червя было совершить распределенная атака отказа в обслуживании против Группа ШОС. 25% хостов, зараженных Mydoom.A, нацелились на SCO Group с потоком трафика. Предположение торговой прессы, вызванное собственными заявлениями Группы ШОС, гласило, что это означает, что червь был создан Linux или же Открытый исходный код сторонник в отместку за скандальный судебные иски и публичные заявления против Linux. Эта теория была немедленно отвергнута исследователями безопасности. С тех пор он также был отклонен сотрудниками правоохранительных органов, расследующими вирус, которые приписывают его действиям организованных преступных онлайн-банд.

Первоначальный анализ Mydoom показал, что это был вариант Mimail червь - отсюда и альтернативное название Mimail.R- наводящие на мысль, что за обоих червей ответственны одни и те же люди. Более поздние исследования были менее убедительными в отношении связи между двумя червями.

Название Mydoom дал Крейг Шмугар, сотрудник фирмы по компьютерной безопасности. McAfee и один из первых первооткрывателей червя. Шмугар выбрал имя, обратив внимание на текст «mydom» в строке кода программы. Он отметил: «С самого начала было очевидно, что это будет очень важно. Я подумал, что слово« гибель »в названии будет уместным».[3]

MyDoom - самый разрушительный компьютерный вирус на сегодняшний день, нанесший ущерб на сумму более 38 миллиардов долларов.[1]

Технический обзор

Mydoom в основном передается через электронное письмо, отображается как ошибка передачи, с темой, включая «Ошибка», «Система доставки почты», «Тест» или «Сбой почтовой транзакции» на разных языках, включая английский и французский. Письмо содержит вложение что если казнен, повторно отправляет червя на адреса электронной почты, найденные в локальных файлах, таких как адресная книга пользователя. Он также копирует себя в "общую папку" пиринговый обмен файлами заявление Kazaa в попытке распространиться таким образом.

Mydoom избегает нацеливания на адреса электронной почты в определенных университетах, таких как Rutgers, Массачусетский технологический институт, Стэнфорд и Калифорнийский университет в Беркли, а также некоторые компании, такие как Microsoft и Symantec. В некоторых ранних отчетах утверждалось, что червь избегает все .edu адресов, но это не так.

Оригинальная версия, Mydoom.Aописывается как несущий два полезные нагрузки:

  • А задняя дверь на порт 3127 / tcp, чтобы разрешить удаленное управление взломанным ПК (поместив свой собственный файл SHIMGAPI.DLL в каталог system32 и запустив его как дочерний процесс из проводник Виндоус ); по сути, это тот же бэкдор, который используется Mimail.
  • А атака отказа в обслуживании против веб-сайта спорный Компания Группа ШОС, приуроченный к началу 1 февраля 2004 года. Многие вирусные аналитики сомневались, что эта полезная нагрузка действительно будет работать. Позднее тестирование показало, что он работает только в 25% зараженных систем.

Вторая версия, Mydoom.B, помимо исходной полезной нагрузки, также нацелен на веб-сайт Microsoft и блокирует доступ к сайтам Microsoft и популярным в Интернете антивирус сайтов, изменив файл hosts, тем самым блокируя средства удаления вирусов или обновления антивирусного программного обеспечения. Меньшее количество экземпляров этой версии в обращении означало, что серверы Microsoft мало пострадали.[4][5]

График

  • 26 января 2004 г .: Вирус Mydoom впервые был обнаружен около 8 часов утра. стандартное восточное время (13:00 UTC), как раз перед началом рабочего дня в Северной Америке. Самые ранние сообщения исходят из России. В течение нескольких часов в полдень быстрое распространение червя снижает общую производительность Интернета примерно на десять процентов и в среднем страница в Интернете время загрузки примерно на пятьдесят процентов. Компании, занимающиеся компьютерной безопасностью, сообщают, что Mydoom в настоящее время отвечает примерно за одно из десяти сообщений электронной почты.
Хотя атака отказа в обслуживании Mydoom должна была начаться 1 февраля 2004 г., Группа ШОС Через несколько часов после первого выпуска червя сайт на короткое время отключается. Неясно, был ли виноват в этом Mydoom. Группа ШОС заявила, что стала целью нескольких Распределенный отказ в обслуживании атаки 2003 года, не связанные с компьютерными вирусами.
  • 27 января: Группа ШОС предлагает вознаграждение в размере 250 000 долларов США за информацию, ведущую к аресту создателя червя. В США ФБР и Секретная служба начать расследование червя.
  • 28 января: Вторая версия червя обнаруживается через два дня после первой атаки. Первые сообщения, отправленные Mydoom.B, были идентифицированы примерно в 14:00 по всемирному координированному времени и, судя по всему, исходят из России. Новая версия включает в себя оригинальную атаку отказа в обслуживании против SCO Group и идентичную атаку, направленную на Microsoft.com, начиная с 3 февраля 2004 года; однако подозревается, что обе атаки либо взломаны, либо нефункциональный код-ловушка, предназначенный для сокрытия задняя дверь функция Mydoom. Mydoom.B также блокирует доступ к веб-сайтам более 60 компаний, занимающихся компьютерной безопасностью, а также к всплывающей рекламе, предоставляемой Двойной щелчок и другие компании интернет-маркетинга.
Пики распространения MyDoom; Компании, занимающиеся компьютерной безопасностью, сообщают, что Mydoom в настоящее время отвечает примерно за каждое пятое сообщение электронной почты.
  • 29 января: Распространение Mydoom начинает снижаться, поскольку ошибки в коде Mydoom.B не позволяют ему распространяться так быстро, как ожидалось. Microsoft предлагает вознаграждение в размере 250 000 долларов США за информацию, ведущую к аресту создателя Mydoom.B.
  • 1 февраля 2004 г .: Примерно один миллион компьютеров по всему миру, зараженных Mydoom, начинают массовую распределенную атаку типа «отказ в обслуживании» - самую крупную подобную атаку на сегодняшний день. Поскольку 1 февраля прибывает в Восточную Азию и Австралию, ШОС удаляет www.sco.com из DNS около 1700 г. универсальное глобальное время 31 января. (Пока нет независимого подтверждения того, что www.sco.com действительно страдает от запланированного DDOS.)
  • 3 февраля: Началась распределенная атака отказа в обслуживании Mydoom.B на Microsoft, к которой Microsoft готовится, предлагая сайт information.microsoft.com, который не будет затронут червем.[6] Тем не менее, влияние атаки остается минимальным и www.microsoft.com остается функциональным. Это объясняется сравнительно низкой распространенностью варианта Mydoom.B, высокой устойчивостью к нагрузке веб-серверов Microsoft и мерами предосторожности, принятыми компанией. Некоторые эксперты отмечают, что нагрузка меньше, чем у обновлений программного обеспечения Microsoft и других подобных веб-служб.
  • 9 февраля: Роковой сок, «паразитический» червь, начинает распространяться. Этот червь использует для своего распространения черный ход, оставленный Mydoom. Не атакует незараженные компьютеры. Его полезная нагрузка, аналогичная одной из Mydoom.B, представляет собой атаку отказа в обслуживании против Microsoft.[7]
  • 12 февраля: Mydoom.A запрограммирован на прекращение распространения. Однако после этой даты бэкдор остается открытым.
  • 1 марта: Mydoom.B запрограммирован на прекращение распространения; как и в случае с Mydoom.A, бэкдор остается открытым.
  • 26 июля: Вариант атак Mydoom Google, AltaVista и Lycos, полностью прекращая работу популярной поисковой системы Google на большую часть рабочего дня и вызывая заметное замедление работы движков AltaVista и Lycos на несколько часов.
  • 10 сентября: Появляются версии MyDoom U, V, W и X, вызывая опасения по поводу того, что готовится новый, более мощный MyDoom.
  • 18 февраля 2005 г .: Появится MyDoom версии AO.
  • Июль 2009 г .: MyDoom снова появляется в Кибератаки в июле 2009 г. затронув Южную Корею и США.[8]

Ссылки в СМИ

Ричард Д. Джеймс имеет отслеживать назван в честь этого вируса в его 11-м выпуске Серия Analord. Некоторые другие треки в e.p. также названы в честь вирусов.

Смотрите также

Рекомендации

  1. ^ «Охранное предприятие: самый быстрый червь MyDoom». CNN.com. Time Warner. 2004-01-28.
  2. ^ Тирнан Рэй (2004-02-18). "Вирусы электронной почты обвиняются в резком росте спама". Сиэтл Таймс. Компания Сиэтл Таймс.
  3. ^ "Еще гибель?". Newsweek. Компания Вашингтон Пост. 2004-02-03.
  4. ^ «Вирус Mydoom начинает выдыхаться». Новости BBC. BBC. 2004-02-04.
  5. ^ https://abcnews.go.com/Technology/ZDM/story?id=97385
  6. ^ «Информация Microsoft: MyDoom (Архив Wayback от 4 февраля 2004 г.)». microsoft.com. 2004-02-04. Архивировано 4 февраля 2004 года.CS1 maint: неподходящий URL (связь)
  7. ^ "W32.HLLW. Doomjuice". Symantec Corporation. 2007-02-13.
  8. ^ «Ленивый хакер и маленький червяк разожгли безумие кибервойны». Проводные новости. 2009-07-08. Получено 2009-07-09.

внешняя ссылка