Mydoom

**Mydoom**
Mydoom
Полное название (Касперский)	Email-Worm.Win32.MyDoom
Тип	Сетевой червь
Год появления	26 января 2004 года
Используемое ПО	уязвимость в Microsoft SQL Server

MyDoom (известный также как Novarg, my.doom, W32.MyDoom@mm, Mimail.R) — почтовый червь для Microsoft Windows и Windows NT, распространение которого началось 26 января 2004.

Распространялся по электронной почте и через файлообменную сеть Kazaa. Файл-носитель червя имеет размер около 28 килобайт и содержит текстовую строку «sync-1.01; andy; I’m just doing my job, nothing personal, sorry», которая переводится «синхронизировать-1.01; энди; я просто делаю свою работу, ничего личного, извини»

При заражении компьютера A версией MyDoom'a, он создаёт бэкдор в системном каталоге system32, shimgapi.dll, открывающий TCP-порт в диапазоне от 3127 до 3197, а так же ещё один файл taskmon.exe. В период с 1 по 12 февраля Mydoom.A проводил DoS‑атаку на сайт SCO Group, а Mydoom.B — на сайт Microsoft.

За несколько дней до DoS-атаки SCO Group заявила, что подозревает в создании червя сторонников операционной системы GNU/Linux, в которой якобы использовался принадлежавший SCO код, и объявила награду в 250 тысяч долларов за информацию, которая поможет поймать создателей MyDoom.^[1]

По данным компании mi2g, ущерб от деятельности MyDoom оценивается в 39 миллиардов долларов, что самое высокое за всю историю человечества для компьютеров.

Первоначальный анализ MyDoom показал, что это вариант червя Mimail (отсюда и альтернативное название Mimail.R), что натолкнуло на мысль, что за обоих червей ответственны одни и те же люди. Более поздние анализы были менее убедительными в отношении связи между двумя червями.

MyDoom был назван Крейгом Шмугаром, сотрудником фирмы по компьютерной безопасности McAfee и одним из первых первооткрывателей червя. Шмугар выбрал это имя после того, как заметил текст «mydom» в строке кода программы. Он отметил: «С самого начала было очевидно, что это будет очень большой успех. Добавляя что: „Я подумал, что слово «дум» в названии будет уместным»“.^[2]

Хронология событий

26 января 2004 г.: MyDoom впервые был обнаружен. Самые ранние сообщения приходят из России. В течение нескольких часов его распространения, червь снижает производительность Интернета примерно на 10%. Компании, которые занимаются компьютерной безопасностью сообщают, что примерно 10% всех электронных писем содержат червя.

27 января 2004 г.: SCO Group предлагает вознаграждение в 250 тыс. долларов США за поимку автора червя.

28 января 2004 г.: Появляется новая версия MyDoom.B. В новой версии появилась характеристика блокировки многих сайтов новостных лент, сайтов о компьютерной безопасности, а так же сайта Microsoft. Известно так же то, что в новой версии DoS-атака на сайт Microsoft начнётся 3 февраля 2004 г. Компании, которые занимаются компьютерной безопасностью заявляют, что каждое 5 электронное письмо содержит MyDoom.

29 января 2004 г.: Распространение MyDoom начинает снижаться. Microsoft так же предлагают награду в 250 тыс. долларов США за поимку автора червя.

1 февраля 2004 г.: MyDoom начинает DoS-атаку на сайт компании SCO. В данной атаке участвуют примерно 1 миллион компьютеров.

3 февраля 2004 г.: MyDoom начинает DoS-атаку на сайт компании Microsoft. Данная атака была неудачной, и microsoft.com за всё время атаки функционировал.

10 февраля 2004 г.: Появляется новая версия DoomJuice. Данная версия для распространения использует бэкдор, оставленный shimgapi.dll.

12 февраля 2004 г.: MyDoom.A прекращает распространение, однако бэкдор, оставленный shimgapi.dll, остаётся открытым.

1 марта 2004 г.: MyDoom.B прекращает распространение. Бэкдор, так же как и в случае с MyDoom.A, остаётся открытым.

26 июля 2004 г.: MyDoom атакует Google, AltaVista и Lycos.

23 сентября 2004 г.: Появляются новые версии U, V, W и X.

18 февраля 2005 г.: Появилась новая версия AO.

Июль 2009 г.: MyDoom атакует Южную Корею и США.

См. также

История компьютерных вирусов

Примечания

↑ Brian Grow, Jason Bush. Hacker Hunters: An elite force takes on the dark side of computing (англ.). BusinessWeek. The McGraw-Hill Companies Inc. (30 мая 2005). Дата обращения: 28 октября 2007. Архивировано 21 февраля 2012 года.
↑ Еще Дуум? (неопр.). Newsweek. Washington Post Company (3 февраля 2004). Дата обращения: 28 октября 2007. Архивировано 2 марта 2009 года.

Ссылки

[1] Brian Grow, Jason Bush. Hacker Hunters: An elite force takes on the dark side of computing (англ.). BusinessWeek. The McGraw-Hill Companies Inc. (30 мая 2005). Дата обращения: 28 октября 2007. Архивировано 21 февраля 2012 года.

[2] Еще Дуум? (неопр.). Newsweek. Washington Post Company (3 февраля 2004). Дата обращения: 28 октября 2007. Архивировано 2 марта 2009 года.

[1]

[2]

Хакерские атаки 2000-х
Крупнейшие атаки	Операция «Аврора» Операция «Bot Roast» Операция Shady RAT Операция «Red October» Проект «Чанология» «Титановый дождь» Взлом платёжной системы CheckFree GhostNet
Группы и сообщества хакеров	Анонимус Подразделение 61398 (НОАК)
Хакеры-одиночки	Дмитрий Скляров
Обнаруженные критические уязвимости	Shatter attack
Компьютерные вирусы	Agent.BTZ Anna Kournikova Asprox Backdoor.Win32.Sinowal Bagle Blaster Bredolab Cabir Careto Code Red Code Red II Commwarrior Conficker Cutwail Donbot Festi Fizzer ILOVEYOU Klez Koobface Kraken Mariposa Mega-D Metulji Mocmex Mydoom Mytob Neshta Netsky NetTraveler Nimda Penetrator Pinch Poison Ivy RFID-вирус Rustock Sality Santy Sasser Sober Sobig SpyEye SQL Slammer Srizbi Storm Worm Torpig Virut Vulcanbot Waledac Welchia ZeroAccess ZeuS Zobot
1990-е • 2000-е • 2010-е