Mydoom

**Mydoom**
Mydoom
Полное название (Касперский)	Email-Worm.Win32.MyDoom
Тип	Сетевой червь
Год появления	26 января 2004 года
Используемое ПО	уязвимость в Microsoft SQL Server

MyDoom (известный также как Novarg, my.doom, W32.MyDoom@mm, Mimail.R^[1]) — почтовый червь для Microsoft Windows и Windows NT, распространение которого началось 26 января 2004.^[2]

Распространялся по электронной почте и через файлообменную сеть Kazaa^[2]. Файл-носитель второй версии червя имеет размер около 28 килобайт и содержит текстовую строку «sync-1.01; andy; I’m just doing my job, nothing personal, sorry», которая переводится «синхронизировать-1.01; энди; я просто делаю свою работу, ничего личного, извини»^[3]

При заражении компьютера A версией MyDoom'a, он создаёт бэкдор в системном каталоге system32, shimgapi.dll, открывающий TCP-порт в диапазоне от 3127 до 3198, а так же ещё один файл taskmon.exe. В период с 1 по 12 февраля Mydoom.A проводил DoS‑атаку на сайт SCO Group^[2], а Mydoom.B (c 3 февраля) — на сайт Microsoft.^[3]

За несколько дней до DoS-атаки SCO Group заявила, что подозревает в создании червя сторонников операционной системы GNU/Linux, в которой якобы использовался принадлежавший SCO код^[4], и объявила награду в 250 тысяч долларов за информацию, которая поможет поймать создателей MyDoom.^[5]

По данным компании HP, ущерб от деятельности MyDoom оценивается в 38 миллиардов долларов, что является рекордом за всю историю вредоносного ПО.^[6]

Первоначальный анализ MyDoom показал, что это вариант червя Mimail (отсюда и альтернативное название Mimail.R), что натолкнуло на мысль, что за обоих червей ответственны одни и те же люди. Более поздние анализы были менее убедительными в отношении связи между двумя червями.^[7]

MyDoom был назван Крейгом Шмугаром, сотрудником фирмы по компьютерной безопасности McAfee и одним из первых первооткрывателей червя. Шмугар выбрал это имя после того, как заметил текст «mydom» в строке кода программы. Он отметил: «С самого начала было очевидно, что это будет очень большой успех. Добавляя что: „Я подумал, что слово «дум» в названии будет уместным»“.^[8]

Также MyDoom был упомянут в мультфильме Колобанга, где является вторичным антагонистом.

Хронология событий править

26 января 2004 г.: MyDoom впервые был обнаружен. Самые ранние сообщения приходят из России. В течение нескольких часов его распространения, червь снижает производительность Интернета примерно на 10%. Компании, которые занимаются компьютерной безопасностью сообщают, что примерно 10% всех электронных писем содержат червя.^[9]

27 января 2004 г.: SCO Group предлагает вознаграждение в 250 тыс. долларов США за поимку автора червя.^[5]

28 января 2004 г.: Появляется новая версия MyDoom.B. В новой версии появилась характеристика блокировки многих сайтов новостных лент, сайтов о компьютерной безопасности, а так же сайта Microsoft. Известно так же то, что в новой версии DoS-атака на сайт Microsoft начнётся 3 февраля 2004 г. Компании, которые занимаются компьютерной безопасностью заявляют, что каждое 5 электронное письмо содержит MyDoom.^[10]

29 января 2004 г.: Распространение MyDoom начинает снижаться. Microsoft так же предлагают награду в 250 тыс. долларов США за поимку автора червя.^[11]

1 февраля 2004 г.: MyDoom начинает DoS-атаку на сайт компании SCO. В данной атаке участвуют примерно 1 миллион компьютеров.

3 февраля 2004 г.: MyDoom начинает DoS-атаку на сайт компании Microsoft. Данная атака была неудачной, и microsoft.com за всё время атаки функционировал.

10-12 февраля 2004 г.: Появляется новая версия DoomJuice. Данная версия для распространения использует бэкдор, оставленный shimgapi.dll.^[12]

12 февраля 2004 г.: MyDoom.A прекращает распространение, однако бэкдор, оставленный shimgapi.dll, остаётся открытым.^[13]

1 марта 2004 г.: MyDoom.B прекращает распространение. Бэкдор, так же как и в случае с MyDoom.A, остаётся открытым.^[3]

26 июля 2004 г.: MyDoom атакует Google, AltaVista и Lycos.^[14]

9-10 сентября 2004 г.: Появляются новые версии U, V, W и X.^[15]^[16]^[17]^[18]

17-20 сентября 2004 г.: MyDoom.U, V, W и X прекращают распространение^[15]^[18]

10 февраля 2005 г.: Появилась новая версия AO.^[19]

Июль 2009 г.: MyDoom атакует Южную Корею и США.^[20]

См. также править

История компьютерных вирусов

Примечания править

↑ Win32/Mydoom threat description - Microsoft Security Intelligence (неопр.). www.microsoft.com. Дата обращения: 8 июня 2023. Архивировано 22 сентября 2022 года.
↑ ¹ ² ³ W32.Mydoom.A@mm (англ.). Symantec (27 июля 2004). Дата обращения: 8 июня 2023. Архивировано из оригинала 9 июня 2005 года.
↑ ¹ ² ³ Email-Worm:W32/Mydoom.B | F-Secure Labs (англ.). www.f-secure.com. Дата обращения: 8 июня 2023.
↑ Brian Grow, Jason Bush. Hacker Hunters: An elite force takes on the dark side of computing (англ.). BusinessWeek. The McGraw-Hill Companies Inc. (30 мая 2005). Дата обращения: 28 октября 2007. Архивировано из оригинала 15 марта 2011 года.
↑ ¹ ² Ken Mingis. SCO offers $250,000 reward for arrest of Mydoom worm author (англ.). Computerworld (27 января 2004). Дата обращения: 8 июня 2023. Архивировано 8 июня 2023 года.
↑ Tom Gerencer. The Top 10 Worst Computer Viruses in History (англ.). HP (4 ноября 2020). Архивировано 22 мая 2023 года.
↑ MyDoom: What is it? (англ.). ZDNET. Дата обращения: 8 июня 2023. Архивировано 8 июня 2023 года.
↑ Еще Дуум? (неопр.) Newsweek. Washington Post Company (3 февраля 2004). Дата обращения: 28 октября 2007. Архивировано 2 марта 2009 года.
↑ Asavin Wattanajantra published. Timeline: The life of the email virus MyDoom (англ.). ITPro (26 января 2009). Дата обращения: 8 июня 2023. Архивировано 8 июня 2023 года.
↑ mi2g (неопр.). mi2g.net. Дата обращения: 8 июня 2023.
↑ David Legard. Microsoft offers $250,000 reward in Mydoom.B attacks (англ.). Computerworld (30 января 2004). Дата обращения: 8 июня 2023. Архивировано 8 июня 2023 года.
↑ admin-ectnews. Doomjuice.B Variant Builds on MyDoom Mayhem (амер. англ.). TechNewsWorld (12 февраля 2004). Дата обращения: 8 июня 2023. Архивировано из оригинала 1 октября 2022 года.
↑ Worm:W32/Mydoom | F-Secure Labs (англ.). www.f-secure.com. Дата обращения: 8 июня 2023. Архивировано 22 апреля 2023 года.
↑ Feder, Barnaby J. (2004-07-27). "Latest MyDoom Worm Plagues Search Sites". The New York Times. Архивировано из оригинала 9 июня 2023. Дата обращения: 8 июня 2023.
↑ ¹ ² Email-Worm:W32/MyDoom.U | F-Secure Labs (англ.). www.f-secure.com. Дата обращения: 8 июня 2023. Архивировано 8 июня 2023 года.
↑ Email-Worm:W32/MyDoom.V | F-Secure Labs (англ.). www.f-secure.com. Дата обращения: 8 июня 2023.
↑ Email-Worm:W32/MyDoom.W | F-Secure Labs (англ.). www.f-secure.com. Дата обращения: 8 июня 2023. Архивировано 8 июня 2023 года.
↑ ¹ ² Email-Worm:W32/MyDoom.X | F-Secure Labs (англ.). www.f-secure.com. Дата обращения: 8 июня 2023.
↑ Worm:Win32/Mydoom.AO@mm (англ.). Microsoft (11 февраля 2005). Дата обращения: 8 июня 2023. Архивировано 9 июня 2023 года.
↑ Beaumont, Peter (2009-07-08). "MyDoom virus hits key networks in US and South Korea". The Guardian. Архивировано из оригинала 9 июня 2023. Дата обращения: 8 июня 2023.

Ссылки править

[1] Win32/Mydoom threat description - Microsoft Security Intelligence (неопр.). www.microsoft.com. Дата обращения: 8 июня 2023. Архивировано 22 сентября 2022 года.

[:0-2] ¹ ² ³ W32.Mydoom.A@mm (англ.). Symantec (27 июля 2004). Дата обращения: 8 июня 2023. Архивировано из оригинала 9 июня 2005 года.

[:1-3] ¹ ² ³ Email-Worm:W32/Mydoom.B | F-Secure Labs (англ.). www.f-secure.com. Дата обращения: 8 июня 2023.

[4] Brian Grow, Jason Bush. Hacker Hunters: An elite force takes on the dark side of computing (англ.). BusinessWeek. The McGraw-Hill Companies Inc. (30 мая 2005). Дата обращения: 28 октября 2007. Архивировано из оригинала 15 марта 2011 года.

[:2-5] ¹ ² Ken Mingis. SCO offers $250,000 reward for arrest of Mydoom worm author (англ.). Computerworld (27 января 2004). Дата обращения: 8 июня 2023. Архивировано 8 июня 2023 года.

[6] Tom Gerencer. The Top 10 Worst Computer Viruses in History (англ.). HP (4 ноября 2020). Архивировано 22 мая 2023 года.

[7] MyDoom: What is it? (англ.). ZDNET. Дата обращения: 8 июня 2023. Архивировано 8 июня 2023 года.

[8] Еще Дуум? (неопр.) Newsweek. Washington Post Company (3 февраля 2004). Дата обращения: 28 октября 2007. Архивировано 2 марта 2009 года.

[9] Asavin Wattanajantra published. Timeline: The life of the email virus MyDoom (англ.). ITPro (26 января 2009). Дата обращения: 8 июня 2023. Архивировано 8 июня 2023 года.

[10] 2g (неопр.). mi2g.net. Дата обращения: 8 июня 2023.

[11] David Legard. Microsoft offers $250,000 reward in Mydoom.B attacks (англ.). Computerworld (30 января 2004). Дата обращения: 8 июня 2023. Архивировано 8 июня 2023 года.

[12] admin-ectnews. Doomjuice.B Variant Builds on MyDoom Mayhem (амер. англ.). TechNewsWorld (12 февраля 2004). Дата обращения: 8 июня 2023. Архивировано из оригинала 1 октября 2022 года.

[13] Worm:W32/Mydoom | F-Secure Labs (англ.). www.f-secure.com. Дата обращения: 8 июня 2023. Архивировано 22 апреля 2023 года.

[14] Feder, Barnaby J. (2004-07-27). "Latest MyDoom Worm Plagues Search Sites". The New York Times. Архивировано из оригинала 9 июня 2023. Дата обращения: 8 июня 2023.

[:3-15] ¹ ² Email-Worm:W32/MyDoom.U | F-Secure Labs (англ.). www.f-secure.com. Дата обращения: 8 июня 2023. Архивировано 8 июня 2023 года.

[16] Email-Worm:W32/MyDoom.V | F-Secure Labs (англ.). www.f-secure.com. Дата обращения: 8 июня 2023.

[17] Email-Worm:W32/MyDoom.W | F-Secure Labs (англ.). www.f-secure.com. Дата обращения: 8 июня 2023. Архивировано 8 июня 2023 года.

[:4-18] ¹ ² Email-Worm:W32/MyDoom.X | F-Secure Labs (англ.). www.f-secure.com. Дата обращения: 8 июня 2023.

[19] Worm:Win32/Mydoom.AO@mm (англ.). Microsoft (11 февраля 2005). Дата обращения: 8 июня 2023. Архивировано 9 июня 2023 года.

[20] Beaumont, Peter (2009-07-08). "MyDoom virus hits key networks in US and South Korea". The Guardian. Архивировано из оригинала 9 июня 2023. Дата обращения: 8 июня 2023.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]