Мой дум

Самовоспроизводящаяся вредоносная программа, распространяющаяся по электронной почте

Mydoom был компьютерным червем , нацеленным на компьютеры под управлением Microsoft Windows . Впервые он был обнаружен 26 января 2004 года. Он стал самым быстро распространяющимся червем электронной почты, превзойдя предыдущие рекорды, установленные червем Sobig и ILOVEYOU , рекорд, который по состоянию на 2024 год еще не был побит. ^[1]

Mydoom, по-видимому, был заказан спамерами электронной почты для рассылки нежелательной почты через зараженные компьютеры. ^[2] Червь содержит текстовое сообщение «Энди; я просто делаю свою работу, ничего личного, извините», что заставило многих поверить, что создателю червя заплатили. Ранее несколько фирм по безопасности выразили свою уверенность в том, что червь был создан программистом из России. Фактический автор червя неизвестен.

Червь оказался плохо отправленным электронным письмом, и большинство людей, которым изначально был отправлен червь, проигнорировали его, посчитав спамом. Однако в конечном итоге он распространился и заразил по меньшей мере 500 тысяч компьютеров по всему миру. ^[3]

Ранние спекулятивные сообщения утверждали, что единственной целью червя было осуществление распределенной атаки типа «отказ в обслуживании» против SCO Group . 25 процентов зараженных Mydoom.A хостов направили поток трафика на SCO Group. Предположение отраслевой прессы, подстегнутое собственными заявлениями SCO Group, утверждало, что это означало, что червь был создан сторонником Linux или открытого исходного кода в ответ на спорные судебные иски SCO Group и публичные заявления против Linux. Эта теория была немедленно отвергнута исследователями безопасности. С тех пор ее также отвергли сотрудники правоохранительных органов, расследующие вирус, которые приписывают его организованным онлайн-преступным группировкам.

Mydoom был назван Крейгом Шмугаром, сотрудником компании по компьютерной безопасности McAfee и одним из первых первооткрывателей червя. Шмугар выбрал имя, заметив текст «mydom» в строке кода программы. Он отметил: «С самого начала было очевидно, что это будет очень много. Я подумал, что иметь «doom» в имени будет уместно». ^[4]

Технический обзор

Mydoom в основном передается по электронной почте , появляясь как ошибка передачи, с темами, включающими «Ошибка», «Система доставки почты», «Тест» или «Ошибка транзакции по почте» на разных языках, включая английский и французский. Письмо содержит вложение , которое, если оно выполнено , пересылает червя по адресам электронной почты, найденным в локальных файлах, таких как адресная книга пользователя. Он также копирует себя в «общую папку» однорангового приложения обмена файлами Kazaa , пытаясь распространиться таким образом.

Mydoom избегает атак на адреса электронной почты определенных университетов, таких как Rutgers , MIT , Stanford и UC Berkeley , а также определенных компаний, таких как Microsoft и Symantec . В некоторых ранних отчетах утверждалось, что червь избегает всех адресов .edu , но это не так.

Первоначальная версия Mydoom.A описывается как несущая две полезные нагрузки :

• Бэкдор на порту 3127/tcp для обеспечения удаленного управления зараженным ПК (путем помещения собственного файла SHIMGAPI.DLL в каталог system32 и запуска его как дочернего процесса Проводника Windows ); по сути , это тот же бэкдор, который использует Mimail .
• Атака типа «отказ в обслуживании» на веб-сайт скандальной компании SCO Group , которая должна была начаться 1 февраля 2004 года. Многие вирусные аналитики сомневались, что эта полезная нагрузка действительно будет работать. Более позднее тестирование показало, что она работает только в 25% зараженных систем. ^[5]

Вторая версия, Mydoom.B , помимо переноса оригинальной полезной нагрузки, также нацелена на веб-сайт Microsoft и блокирует доступ к сайтам Microsoft и популярным сайтам онлайн -антивирусов , изменяя файл hosts , тем самым блокируя инструменты удаления вирусов или обновления антивирусного программного обеспечения. Меньшее количество копий этой версии в обращении означало, что серверы Microsoft пострадали от небольшого количества негативных последствий. ^{[6] [7]}

Хронология

• 26 января 2004 г.: Вирус Mydoom впервые обнаружен около 8 утра по восточному времени (13:00 UTC), как раз перед началом рабочего дня в Северной Америке. Самые ранние сообщения приходят из России. В течение нескольких часов в середине дня быстрое распространение червя замедляет общую производительность Интернета примерно на десять процентов и среднее время загрузки веб-страниц примерно на пятьдесят процентов. Компании по компьютерной безопасности сообщают, что Mydoom несет ответственность примерно за одно из десяти сообщений электронной почты в это время.

Хотя атака DoS (Denial of Service) от Mydoom была запланирована на 1 февраля 2004 года, веб-сайт SCO Group ненадолго отключается в течение нескольких часов после первого запуска червя. Неясно, несет ли Mydoom за это ответственность. SCO Group заявила, что стала целью нескольких распределенных атак типа «отказ в обслуживании» в 2003 году, которые не были связаны с компьютерными вирусами.

• 27 января 2004 г.: SCO Group предлагает вознаграждение в размере 250 000 долларов США за информацию, которая приведет к аресту создателя червя. В США ФБР и Секретная служба начинают расследование червя.
• 28 января 2004 г.: Вторая версия червя обнаружена через два дня после первой атаки. Первые сообщения, отправленные Mydoom.B, идентифицированы около 14:00 UTC и также, по-видимому, исходят из России. Новая версия включает в себя оригинальную атаку типа «отказ в обслуживании» против SCO Group и идентичную атаку, направленную на Microsoft.com, начавшуюся 3 февраля 2004 г.; однако, предположительно, обе атаки являются либо сломанными, либо нефункциональными ложными кодами, предназначенными для сокрытия функции бэкдора Mydoom. Mydoom.B также блокирует доступ к веб-сайтам более 60 компаний, занимающихся компьютерной безопасностью, а также всплывающую рекламу, предоставляемую DoubleClick и другими компаниями онлайн-маркетинга.

Распространение Mydoom достигает пика; компании, занимающиеся компьютерной безопасностью, сообщают, что на данный момент Mydoom несет ответственность примерно за каждое пятое сообщение электронной почты.

• 29 января 2004 г.: Распространение Mydoom начинает снижаться, поскольку ошибки в коде Mydoom.B не позволяют ему распространяться так быстро, как предполагалось изначально. Microsoft предлагает вознаграждение в размере 250 000 долларов США за информацию, которая приведет к аресту создателя Mydoom.B.
• 1 февраля 2004 г.: По оценкам, около миллиона компьютеров по всему миру, зараженных Mydoom, начинают массированную распределенную атаку типа «отказ в обслуживании» вируса — самую крупную такую ​​атаку на сегодняшний день. С наступлением 1 февраля в Восточной Азии и Австралии SCO удаляет www.sco.com из DNS около 17:00 UTC 31 января. (Пока нет независимого подтверждения того, что www.sco.com действительно пострадал от запланированной DDOS.)
• 3 февраля 2004 г.: Начинается распределенная атака типа «отказ в обслуживании» Mydoom.B на Microsoft, к которой Microsoft готовится, предлагая веб-сайт, который не будет затронут червем, information.microsoft.com. ^[8] Однако воздействие атаки остается минимальным, и www.microsoft.com остается функциональным. Это объясняется сравнительно низким распространением варианта Mydoom.B, высокой устойчивостью к нагрузке веб-серверов Microsoft и мерами предосторожности, принятыми компанией. Некоторые эксперты отмечают, что нагрузка меньше, чем у обновлений программного обеспечения Microsoft и других подобных веб-сервисов.
• 9 февраля 2004 г.: начинает распространяться «паразитический» червь Doomjuice. Этот червь использует для распространения бэкдор, оставленный Mydoom. Он не атакует незараженные компьютеры. Его полезная нагрузка, схожая с одной из Mydoom.B, представляет собой атаку типа «отказ в обслуживании» против Microsoft. ^[9]
• 12 февраля 2004 г.: Mydoom.A запрограммирован на прекращение распространения. Однако бэкдор остается открытым и после этой даты.
• 1 марта 2004 г.: Mydoom.B запрограммирован на прекращение распространения; как и в случае с Mydoom.A, бэкдор остается открытым.
• 26 июля 2004 г.: Вариант Mydoom атакует Google , AltaVista и Lycos , полностью останавливая работу популярной поисковой системы Google на большую часть рабочего дня и вызывая заметное замедление работы поисковых систем AltaVista и Lycos на несколько часов.
• 23 сентября 2004 г.: Появляются версии Mydoom U, V, W и X, вызывая опасения, что готовится новый, более мощный Mydoom.
• 18 февраля 2005 г.: Появляется версия Mydoom AO.
• Июль 2009 г.: Mydoom вновь появляется в кибератаках июля 2009 г., затронувших Южную Корею и США. ^[10]

Смотрите также

• Хронология компьютерных вирусов и червей

Ссылки

1. "Фирма безопасности: червь MyDoom самый быстрый на сегодняшний день". CNN.com . Time Warner. 2004-01-28. Архивировано из оригинала 2007-11-14 . Получено 2007-10-14 .
2. Тирнан Рэй (2004-02-18). «Вирусам электронной почты приписывают резкое увеличение количества спама». The Seattle Times . The Seattle Times Company. Архивировано из оригинала 2012-08-26 . Получено 2004-02-19 .
3. «Угроза Mydoom по-прежнему высока; Microsoft предлагает вознаграждение». NBC News . 26 января 2004 г. Архивировано из оригинала 5 августа 2021 г. Получено 29 июня 2022 г.
4. "More Doom?". Newsweek . Washington Post Company . 2004-02-03. Архивировано из оригинала 2009-03-02 . Получено 2007-10-28 .
5. "[Обзор] Вирус MyDoom: самый разрушительный и быстрый почтовый червь". MiniTool . Получено 12.10.2023 .
6. "Mydoom virus начинает выдыхаться". BBC News . BBC. 2004-02-04. Архивировано из оригинала 2004-04-16 . Получено 2004-02-04 .
7. "Как предотвратить повторную ошибку электронной почты 'MyDoom'". ABC News . Архивировано из оригинала 2020-09-28 . Получено 2020-06-28 .
8. "Microsoft Information: MyDoom (Архив Wayback от 4 февраля 2004 г.)". microsoft.com . 2004-02-04. Архивировано из оригинала 4 февраля 2004 г.{{cite web}}: CS1 maint: неподходящий URL ( ссылка )
9. "W32.HLLW.Doomjuice". Symantec Corporation. 2007-02-13. Архивировано из оригинала 2004-04-15 . Получено 2004-02-10 .
10. "Lazy Hacker and Little Worm Set Off Cyberwar Frenzy". Wired News . 2009-07-08. Архивировано из оригинала 2009-07-10 . Получено 2009-07-09 .

Внешние ссылки

• MyDoom и DDoS-атаки
• "Email-Worm.Win32.Mydoom.a". Viruslist.com . Kaspersky Lab. Архивировано из оригинала 2006-10-15.
• SCO предлагает вознаграждение за арест и осуждение автора вируса Mydoom - пресс-релиз SCO, 27 января 2004 г. Обратите внимание на утверждение, что атака типа «отказ в обслуживании» уже началась в этот день.
• "Mydoom". Страницы информации о компьютерных вирусах F-Secure . Корпорация F-Secure.
• "Win32.Mydoom.A". Security Advisor . Computer Associates International. Архивировано из оригинала 2005-04-10 . Получено 2005-04-30 .
• Информация о черве Mydoom с сайта Symantec.com
• «Компьютерный вирус, нанесший ущерб в 50 миллиардов долларов». Канал YouTube InfoGraphics Show.