Служба круглосуточного мониторинга "Лаборатории Касперского" сообщает о зафиксированом ночью 27 января 2004 года начале крупномасштабной эпидемии почтового червя Novarg, также известного как Mydoom.

В настоящий момент всеми антивирусными компаниями данному червю присвоен максимальный уровень опасности. Количество зараженных писем в интернете исчисляется несколькими миллионами экземпляров.

Программный модуль червя имеет длину 22 528 байт, упакован компрессионной утилитой UPX и может быть при рассылке по почте упакован в ZIP-архив. Почтовое сообщение, с которым рассылается червь, может иметь следующие темы:

Server Report
Mail Delivery System
hi
status
hello
HELLO
Hi
test
Test

При этом содержание почтового сообщения может быть либо произвольным мусором, либо состоять из следующих фраз:
The message contains Unicode characters and
has been sent as a binary attachment.

The message cannot be represented in
7-bit ASCII encoding and has been sent as a binary attachment.

Приложение, содержащее непосредственно программный модуль червя, может иметь одно из расширений, свойственных исполняемым файлам (*.scr, *.bat, *.exe, *.pif), а также может быть представлено в виде ZIP-архива.
Червь, будучи запущенным неосторожным пользователем, копирует себя в системную директорию Windows под именем taskmon.exe, после чего создает соответствующую ссылку в секции автозапуска системного реестра для обеспечения собственного запуска при каждом старте Windows-сессии. Одновременно червь создает во временной директории текстовый файл, состоящий из случайного набора мусора, который открывает с помощью программы Notepad.exe. Таким образом у пользователя создается иллюзия, что он действительно открыл испорченный текстовый файл.

В это же время червь начинает свою массовую рассылку по адресам, найденным в пораженной системе. При этом он использует свой механизм реализации SMTP-протокола, подбирая возможные имена почтовых серверов для передачи инфицированных писем в соответствующие домены. Если попытка подбора relay-сервера оказывается неудачной, червь отсылает свои копии через SMTP-сервер, являющийся основным для инфицированной системы. Рассылка осуществляется червем одновременно в несколько потоков, что объясняет ее массовый характер.

Другой способ, используемый червем - это распространение по файлообменной сети KaZaA. С этой целью червь копирует себя в директории, используемые для передачи файлов по этой сети.

Помимо способности массово рассылать свои копии, червь несет в себе гораздо более опасную функцию - он открывает доступ третьим лицам к пораженному компьютеру, позволяя злоумышленникам дополнительно загружать и запускать на нем другие программы. Червь открывает порты с 3127 по 3198 и ждет поступления на них команд от удаленного пользователя. Предполагается, что 1 февраля со всех компьютеров, которые будут к тому времени заражены и будут иметь доступ в интернет, будет осуществлена DoS-атака на сайт группы SCO, известной своими судебными исками по поводу авторских прав на операционную систему UNIX.

Инфа с канала подписки Sybskribe.ru:
В связи с многочисленными случаями заражения сетевым червем "Novarg"
("Mydoom"), "Лаборатория Касперского" разработала бесплатную утилиту
для обнаружения и удаления данной вредоносной программы.

Утилита CLRAV производит поиск и нейтрализацию червя в оперативной
памяти и жестком диске зараженного компьютера, а также восстанавливает
оригинальное содержимое системного реестра Windows.

Помимо "Novarg" ("Mydoom") данная утилита эффективно борется с другими
вредоносными программами, в том числе "Klez", "Lentin", "Opasoft",
"Tanatos", "Welchia", "Sobig", "Dumaru", "Swen". CLRAV будет особенно
полезен пользователям других антивирусных программ, которые могут
некорректно обнаруживать и удалять "Novarg".

При запуске данной утилиты "Лаборатория Касперского" рекомендует
закрыть все активные приложения. По окончании ее работы необходимо
перезагрузить компьютер и запустить антивирусный сканер для
полномасштабной проверки компьютера.

Вы можете загрузить утилиту CLRAV по адресу:
ftp://ftp.kaspersky.com/utils/clrav.zip

LI 3.9.25