Моя гибель

Моя гибель
Моя гибель
	Пример случайно сгенерированного файла, открытого Mydoom после выполнения
Тип	Компьютерный червь
Технические детали
Платформа	Windows 2000 , Windows XP
Написано в	С++
Снято с производства	12 февраля 2004 г. (Mydoom.A) ; 1 марта 2004 г. (Mydoom.B) ;

Mydoom — компьютерный червь , нацеленный на компьютеры под управлением Microsoft Windows . Впервые его заметили 26 января 2004 года. Он стал самым быстро распространяющимся почтовым червем за всю историю, превзойдя предыдущие рекорды, установленные червем Sobig и ILOVEYOU , рекорд, который по состоянию на 2024 год еще не побит. ^[1]

Судя по всему, Mydoom был заказан спамерами по электронной почте для рассылки нежелательной почты через зараженные компьютеры. ^[2] Червь содержит текстовое сообщение «Энди, я просто делаю свою работу, ничего личного, извините», что заставляет многих полагать, что создателю червя заплатили. Ранее несколько охранных фирм выразили мнение, что червь создан программистом из России. Фактический автор червя неизвестен.

Похоже, что червь представлял собой плохо отправленное электронное письмо, и большинство людей, которым первоначально было отправлено электронное письмо с червем, проигнорировали его, думая, что это спам. Однако в конечном итоге он распространился и заразил как минимум 500 тысяч компьютеров по всему миру. ^[3]

В ранних репортажах говорилось, что единственной целью червя было проведение распределенной атаки типа «отказ в обслуживании» против SCO Group . 25 процентов зараженных Mydoom.A хостов атаковали SCO Group потоком трафика. В отраслевой прессе, подкрепленной заявлениями самой группы SCO, говорилось, что это означает, что червь был создан сторонником Linux или открытого исходного кода и публичные заявления группы SCO в отместку за спорные судебные иски против Linux. Эта теория была немедленно отвергнута исследователями безопасности. С тех пор его также отвергли сотрудники правоохранительных органов, расследующие вирус, которые приписывают его организованным преступным группировкам в Интернете.

Название Mydoom дал Крейг Шмугар, сотрудник фирмы компьютерной безопасности McAfee и один из первых первооткрывателей червя. Шмугар выбрал это имя после того, как заметил текст «mydom» в строке кода программы. Он отметил: «С самого начала было очевидно, что это будет очень масштабно. Я подумал, что слово «doom» в названии будет уместным». ^[4]

Технический обзор

Mydoom в основном передается по электронной почте , что отображается как ошибка передачи, с темой, включающей «Ошибка», «Система доставки почты», «Тест» или «Ошибка почтовой транзакции» на разных языках, включая английский и французский. Письмо содержит вложение , которое при запуске повторно отправляет червя на адреса электронной почты, найденные в локальных файлах, например в адресной книге пользователя. Он также копирует себя в «общую папку» однорангового обмена файлами приложения Kazaa , пытаясь таким образом распространиться.

Mydoom избегает целевых адресов электронной почты в определенных университетах, таких как Рутгерс , Массачусетский технологический институт , Стэнфорд и Калифорнийский университет в Беркли , а также в определенных компаниях, таких как Microsoft и Symantec . В некоторых ранних сообщениях утверждалось, что червь избегает всех адресов .edu , но это не так.

Исходная версия Mydoom.A описывается как несущая две полезные нагрузки :

Бэкдор 3127/tcp , на порту позволяющий удаленно управлять поврежденным ПК (путем помещения собственного файла SHIMGAPI.DLL в каталог system32 и запуска его как дочернего процесса Windows Explorer ); По сути, это тот же бэкдор, который использует Mimail .
Атака типа «отказ в обслуживании» на веб-сайт скандальной компании SCO Group , начало которой было запланировано на 1 февраля 2004 года. Многие вирусные аналитики сомневались, что эта полезная нагрузка действительно будет функционировать. Более позднее тестирование показало, что он работает только в 25% зараженных систем. ^[5]

Вторая версия, Mydoom.B , помимо оригинальной полезной нагрузки, также нацелена на веб-сайт Microsoft и блокирует доступ к сайтам Microsoft и популярным онлайн- антивирусным сайтам путем изменения файла хостов , тем самым блокируя инструменты удаления вирусов или обновления антивирусного программного обеспечения. Меньшее количество копий этой версии в обращении означало, что серверы Microsoft пострадали от меньшего вреда. ^[6]^[7]

Хронология

26 января 2004 г.: Вирус Mydoom впервые обнаружен около 8 утра по восточному стандартному времени (13:00 по всемирному координированному времени), незадолго до начала рабочего дня в Северной Америке. Самые ранние сообщения происходят из России. В течение нескольких часов в полдень быстрое распространение червя замедляет общую производительность Интернета примерно на десять процентов, а среднее время загрузки веб-страниц примерно на пятьдесят процентов. Компании, занимающиеся компьютерной безопасностью, сообщают, что Mydoom в настоящее время отвечает примерно за одно из десяти сообщений электронной почты.

Хотя атака типа «отказ в обслуживании» Mydoom должна была начаться 1 февраля 2004 года, веб-сайт SCO Group ненадолго отключается через несколько часов после первого выпуска червя. Неясно, несет ли за это ответственность Mydoom. Группа SCO заявила, что в 2003 году она стала целью нескольких распределенных атак типа «отказ в обслуживании» , не связанных с компьютерными вирусами.

27 января 2004 г.: Группа SCO предлагает вознаграждение в размере 250 000 долларов США за информацию, которая приведет к аресту создателя червя. В США ФБР и Секретная служба начинают расследование червя.
28 января 2004 г.: вторая версия червя обнаружена через два дня после первой атаки. Первые сообщения, отправленные Mydoom.B, датируются примерно 14:00 UTC и, судя по всему, также исходят из России. Новая версия включает первоначальную атаку типа «отказ в обслуживании» против SCO Group и идентичную атаку, направленную на Microsoft.com, начавшуюся 3 февраля 2004 г.; однако предполагается, что обе атаки либо взломаны, либо являются нефункциональным кодом-ловушкой, предназначенным для сокрытия бэкдорной функции Mydoom. Mydoom.B также блокирует доступ к веб-сайтам более 60 компаний, занимающихся компьютерной безопасностью, а также всплывающую рекламу, предоставляемую DoubleClick и другими компаниями онлайн-маркетинга.

Распространение пиков Mydoom; Компании, занимающиеся компьютерной безопасностью, сообщают, что Mydoom в настоящее время отвечает примерно за каждое пятое сообщение электронной почты.

29 января 2004 г.: Распространение Mydoom начинает снижаться, поскольку ошибки в коде Mydoom.B не позволяют ему распространяться так быстро, как предполагалось изначально. Microsoft предлагает вознаграждение в размере 250 000 долларов США за информацию, которая приведет к аресту создателя Mydoom.B.
1 февраля 2004 г.: По оценкам, один миллион компьютеров по всему миру, зараженных Mydoom, начинают массовую распределенную атаку типа «отказ в обслуживании» — крупнейшую подобную атаку на сегодняшний день. С наступлением 1 февраля в Восточной Азии и Австралии ШОС удаляет www.sco.com из DNS около 17:00 UTC 31 января. (Пока нет независимого подтверждения того, что www.sco.com действительно пострадал от запланированного DDOS.)
3 февраля 2004 г.: начинается распределенная атака типа «отказ в обслуживании» Mydoom.B на Microsoft, к которой Microsoft готовится, предлагая веб-сайт information.microsoft.com, который не будет затронут червем. ^[8] Однако последствия атаки остаются минимальными, а сайт www.microsoft.com продолжает функционировать. Это объясняется сравнительно низким распространением варианта Mydoom.B, высокой устойчивостью к нагрузкам веб-серверов Microsoft и мерами предосторожности, принятыми компанией. Некоторые эксперты отмечают, что нагрузка меньше, чем при обновлении программного обеспечения Microsoft и других подобных веб-сервисах.
9 февраля 2004 г.: начинает распространяться «паразитический» червь Doomjuice. Этот червь для своего распространения использует бэкдор, оставленный Mydoom. Он не атакует незараженные компьютеры. Его полезная нагрузка, аналогичная Mydoom.B, представляет собой атаку типа «отказ в обслуживании» против Microsoft. ^[9]
12 февраля 2004 г.: Mydoom.A запрограммирован на прекращение распространения. Однако после этой даты бэкдор остается открытым.
1 марта 2004 г.: Mydoom.B запрограммирован на прекращение распространения; как и в случае с Mydoom.A, бэкдор остается открытым.
26 июля 2004 г.: вариант Mydoom атакует Google , AltaVista и Lycos , полностью останавливая работу популярной поисковой системы Google на большую часть рабочего дня и вызывая заметное замедление работы систем AltaVista и Lycos на несколько часов.
23 сентября 2004 г.: появляются версии Mydoom U, V, W и X, что вызывает опасения, что готовится новый, более мощный Mydoom.
18 февраля 2005 г.: появляется версия Mydoom AO.
Июль 2009 г.: Mydoom вновь проявляется в кибератаках в июле 2009 г., затронувших Южную Корею и США. ^[10]

См. также

Хронология компьютерных вирусов и червей

Ссылки

^ «Охранная фирма: самый быстрый червь MyDoom» . CNN.com . Тайм Уорнер. 28 января 2004 г. Архивировано из оригинала 14 ноября 2007 г. Проверено 14 октября 2007 г.
^ Тирнан Рэй (18 февраля 2004 г.). «Вирусы электронной почты обвиняются в резком росте количества спама» . Сиэтл Таймс . Компания Сиэтл Таймс. Архивировано из оригинала 26 августа 2012 г. Проверено 19 февраля 2004 г.
^ «Угроза Mydoom все еще высока; Microsoft предлагает вознаграждение» . Новости Эн-Би-Си . 26 января 2004 года . Проверено 29 июня 2022 г.
^ «Еще Дум?» . Newsweek . Компания Вашингтон Пост . 3 февраля 2004 г. Архивировано из оригинала 02 марта 2009 г. Проверено 28 октября 2007 г.
^ «[Обзор] Вирус MyDoom: самый разрушительный и быстрый почтовый червь — MiniTool» . www.minitool.com . Проверено 12 октября 2023 г.
^ «Вирус Mydoom начинает выдыхаться» . Новости Би-би-си . Би-би-си. 4 февраля 2004 г. Архивировано из оригинала 16 апреля 2004 г. Проверено 4 февраля 2004 г.
^ «Как предотвратить появление новой ошибки в электронной почте MyDoom» . Новости АВС . Архивировано из оригинала 28 сентября 2020 г. Проверено 28 июня 2020 г.
^ «Информация Microsoft: MyDoom (архив Wayback от 4 февраля 2004 г.)» . microsoft.com . 4 февраля 2004 г. Архивировано из оригинала 4 февраля 2004 года. {{cite web}}: CS1 maint: неподходящий URL ( ссылка )
^ "W32.HLLW.Doomjuice" . Корпорация Симантек. 13 февраля 2007 г. Архивировано из оригинала 15 апреля 2004 г. Проверено 10 февраля 2004 г.
^ «Ленивый хакер и маленький червяк развязали безумие кибервойны» . Проводные новости . 08 июля 2009 г. Архивировано из оригинала 10 июля 2009 г. Проверено 9 июля 2009 г.

Внешние ссылки

MyDoom и DDoS-атаки
"Email-Worm.Win32.Mydoom.a" . Viruslist.com . Лаборатория Касперского. Архивировано из оригинала 15 октября 2006 г.
SCO предлагает вознаграждение за арест и осуждение вируса Mydoom Автор - пресс-релиз SCO, 27 января 2004 г. Обратите внимание на утверждение о том, что атака типа «отказ в обслуживании» уже началась в этот день.
«Мой Судьба» . Страницы с информацией о компьютерных вирусах F-Secure . Корпорация F-Secure.
«Win32.Mydoom.A» . Советник по безопасности . Компьютерная Ассоциация Интернэшнл. Архивировано из оригинала 10 апреля 2005 г. Проверено 30 апреля 2005 г.
Информация о черве Mydoom от Symantec.com
«Компьютерный вирус, причинивший ущерб в 50 миллиардов долларов» . Канал InfoGraphics Show на YouTube.

[1] «Охранная фирма: самый быстрый червь MyDoom» . CNN.com . Тайм Уорнер. 28 января 2004 г. Архивировано из оригинала 14 ноября 2007 г. Проверено 14 октября 2007 г.

[2] Тирнан Рэй (18 февраля 2004 г.). «Вирусы электронной почты обвиняются в резком росте количества спама» . Сиэтл Таймс . Компания Сиэтл Таймс. Архивировано из оригинала 26 августа 2012 г. Проверено 19 февраля 2004 г.

[3] «Угроза Mydoom все еще высока; Microsoft предлагает вознаграждение» . Новости Эн-Би-Си . 26 января 2004 года . Проверено 29 июня 2022 г.

[4] «Еще Дум?» . Newsweek . Компания Вашингтон Пост . 3 февраля 2004 г. Архивировано из оригинала 02 марта 2009 г. Проверено 28 октября 2007 г.

[5] «[Обзор] Вирус MyDoom: самый разрушительный и быстрый почтовый червь — MiniTool» . www.minitool.com . Проверено 12 октября 2023 г.

[6] «Вирус Mydoom начинает выдыхаться» . Новости Би-би-си . Би-би-си. 4 февраля 2004 г. Архивировано из оригинала 16 апреля 2004 г. Проверено 4 февраля 2004 г.

[7] «Как предотвратить появление новой ошибки в электронной почте MyDoom» . Новости АВС . Архивировано из оригинала 28 сентября 2020 г. Проверено 28 июня 2020 г.

[8] «Информация Microsoft: MyDoom (архив Wayback от 4 февраля 2004 г.)» . microsoft.com . 4 февраля 2004 г. Архивировано из оригинала 4 февраля 2004 года. {{cite web}}: CS1 maint: неподходящий URL ( ссылка )

[9] "W32.HLLW.Doomjuice" . Корпорация Симантек. 13 февраля 2007 г. Архивировано из оригинала 15 апреля 2004 г. Проверено 10 февраля 2004 г.

[Lazy_Hacker_and_Little_Worm_Set_Off_Cyberwar_Frenzy-10] «Ленивый хакер и маленький червяк развязали безумие кибервойны» . Проводные новости . 08 июля 2009 г. Архивировано из оригинала 10 июля 2009 г. Проверено 9 июля 2009 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]