ویروس W۳۲ MyDoom B Virus

MyDoom B از طریق ایمیل یا شبکه های P۲P منتقل میشود لازمه انتقال این ویروس آنست که خود کاربر فایل اجرایی ضمیمه شده به ایمیل را اجرا نماید در غیر اینصورت ویروس منتقل نخواهد شد

● سیستمهای تحت تاثیر

▪ تمام نسخه های ویندوز

● چکیده

MyDoom یک ویروس مبتنی بر ایمیل است که از طریق اجرای یک فایل اجرایی که به صورت پیوست ارسال میگردد منتشر میشود

● توضیح

MyDoom.B از طریق ایمیل یا شبکه های P۲P منتقل میشود. لازمه انتقال این ویروس آنست که خود کاربر فایل اجرایی ضمیمه شده به ایمیل را اجرا نماید. در غیر اینصورت ویروس منتقل نخواهد شد.

فعالیت این ویروس احتمالا تا تاریخ اول مارس ۲۰۰۴ متوقف میشود.

مشخصات ایمیل حاوی این ویروس به قرار زیر است:

▪ فرستنده

یک آدرس تصادفی از سایتهای : aol, msn, yahoo, hotmail

▪ موضوع

یکی از عناوین: Delivery Error, hello, Error, Mail Delivery System, Mail Transaction Failed, Returned mail, Server Report, Status, Unable to deliver the message

▪ متن

متن ایمیل حاوی مشخصات احتمالی زیر است:

[random characters]

test

The message cannot be represented in ۷-bit ASCII encoding and has been sent as a binary attachment.

sendmail daemon reported: Error #۸۰۴ occured during SMTP session. Partial message has been received.

The message contains Unicode characters and has been sent as a binary attachment.

The message contains MIME-encoded graphics and has been sent as a binary attachment.

Mail transaction failed. Partial message is available.

▪ پیوست

پیوست ایمیل که حاوی فایل اجرایی ویروس است به شکل زیر است:

{body, doc, text, document, data, file, readme, message}.{exe, bat, scr, cmd, pif}

● تاثیرات

ایجاد دو فایل با نامهای

▪ Explorer.exe

▪ Ctfmon.dll

هر دوی این فایلها در دایرکتوری سیستم ویندوز نصب میشوند. باید دقت کرد که خود ویندوز دارای فایلی با نام explorer.exe در دایرکنوری ویندوز است . فایل دوم نیز همنام یکی از فایلهایی ست که با نرم افزار Office نصب میشود.

● تغییر فایل Hosts

این فایل مرجع اولیه ویندوز برای Name Resolution می باشد که در مسیر زیر قرار دارد:

%windir%\system۳۲\driverstc\hosts

این ویروس برای گمراه کردن کاربر و جلوگیری از دستیابی او به سایتهای معروفضد ویروس و ضد هک ، آدرس برخی ازانها را به شکل زیر درین فایل تغییر میدهد:

۱۲۷.۰.۰.۱ localhost localhost.localdomain local lo

۰.۰.۰.۰ ۰.۰.۰.۰

۰.۰.۰.۰ engine.awaps.net awaps.net www.awaps.net ad.doubleclick.net

۰.۰.۰.۰ spd.atdmt.com atdmt.com click.atdmt.com clicks.atdmt.com

۰.۰.۰.۰ media.fastclick.net fastclick.net www.fastclick.net ad.fastclick.net

۰.۰.۰.۰ ads.fastclick.net banner.fastclick.net banners.fastclick.net

۰.۰.۰.۰ www.sophos.com sophos.com ftp.sophos.com f-secure.com www.f-secure.com

۰.۰.۰.۰ ftp.f-secure.com securityresponse.symantec.com

۰.۰.۰.۰ www.symantec.com symantec.com service۱.symantec.com

۰.۰.۰.۰ liveupdate.symantec.com update.symantec.com updates.symantec.com

۰.۰.۰.۰ support.microsoft.com downloads.microsoft.com

۰.۰.۰.۰ download.microsoft.com windowsupdate.microsoft.com

۰.۰.۰.۰ office.microsoft.com msdn.microsoft.com go.microsoft.com

۰.۰.۰.۰ nai.com www.nai.com vil.nai.com secure.nai.com www.networkassociates.com

۰.۰.۰.۰ networkassociates.com avp.ru www.avp.ru www.kaspersky.ru

۰.۰.۰.۰ www.viruslist.ru viruslist.ru avp.ch www.avp.ch www.avp.com

۰.۰.۰.۰ avp.com us.mcafee.com mcafee.com www.mcafee.com dispatch.mcafee.com

۰.۰.۰.۰ download.mcafee.com mast.mcafee.com www.trendmicro.com

۰.۰.۰.۰ www۳.ca.com ca.com www.ca.com www.my-etrust.com

۰.۰.۰.۰ my-etrust.com ar.atwola.com phx.corporate-ir.net

۰.۰.۰.۰ www.microsoft.com

اعمال تغییرات زیر در رجیستری ویندوز(این تغییرات جهت اجرای ویروس حین شروع به کار سیستم اعمال میشود. بنابراین با حذف خط اول از رجیستری ، ویروس اجرا نخواهد شد)