Вирус Mydoom, также известный как NovaRG, появившись в интернет 26 января 2004 года поразил систему электронной почты, установил рекорды по распространению и до сих пор считается самым опасным вирусом, когда-либо выпущенным в свет.
История
Компьютеры, зараженные Mydoom, в час "X" должны были начать атаку на сервера компании SCO Group. Расположенная в американском штате Юта, компания SCO Group известна тем, что именно она заявляет о своих правах на основу кода открытой операционной системы Linux. Из-за этого к ней предъявляют достаточно серьезные претензии другие создатели открытых компьютерных программ, настаивающие на том, что этот код не принадлежит никому. Поэтому, по одной из версий, инициатором атаки на сервер SCO Group, и, соответственно, создателем вируса Mydoom является кто-то, причастный к спорам между этой компанией и ее оппонентами из числа программистов-любителей открытого кода.
По данным компании MessageLabs, занимающейся исследованием компьютерных вирусов, Mydoom впервые появился в России, что, правда, вовсе не означает, что он был создан именно в этой стране. Единственная подсказка, оставленная автором, состоит из фразы "sink-1.01; andy; I’m just doing my job, nothing personal, sorry", зашифрованной в программном коде вируса. Кто такой Энди?! Кто знает?!
Но 28 января в сети появился новый вариант этого вируса, нацеленный не только на SCO Group, но и на сам Microsoft.
После этого об авторе вируса поползло еще больше слухов, а генеральный директор SCO Group Дарл МакБрайд предложил 250 000$ за информацию о данном хакере. На сайте Slashdot.org, на котором собирался народ топящий за открытый код программного обеспечения, можно найти десятки версий истории появления Mydoom. Многие посетители сайта считают, что руку к этому приложила сама SCO Group. Так, по словам человека под ником "Duke-shadows", становясь жертвой получившей широкую огласку вирусной атаки, в организации которой можно обвинить "адептов открытого кода", SCO Group только выигрывает. "Кто еще может получить преимущества от вируса, который был выявлен на столь раннем этапе?", – написал он.
Но никакие обвинения так и не были подтверждены хотя бы сколько-нибудь существенными доказательствами.
Работа вируса
Mydoom распространялся по электронной почте с поддельным адресом отправителя и восемью возможными строками темы: test, hi, hello, Mail, Delivery System, Mail Transaction Failed, Server Report, Status, Error.
В самом сообщении письма содержался один из трех следующих вариантов:
Почтовая транзакция не удалась. Сообщение доступно в виде двоичного вложения.
Сообщение содержит символы Unicode и было отправлено в виде двоичного вложения.
Сообщение не может быть представлено в 7-битной кодировке ASCII и было отправлено в виде двоичного вложения.
Вложение имеет общее имя и два расширения файла (для обмана пользователя, заставляя его думать, что это какой-то документ). Имя файла имело 9 возможных вариаций: document, readme, doc, text, file, data, test, message, body.
Поддельное расширение, видимое пользователем, имело три возможных варианта: htm, txt, doc.
Второе реальное расширение файла могло иметь шесть возможных вариантов: bat, cmd, exe, pif, scr, zip.
Когда Mydoom выполнялся, он копировал себя в системную папку Windows под именем Taskmon.exe. Он также создавал файл Shimgapi.dll в системной папке. Этот файл представлял собой бэкдор-троян, который открывал порты прослушивания TCP в диапазоне от 3127 до 3198 и мог загружать и выполнять произвольные файлы.
Затем червь создавал или изменял несколько ключей реестра. Он добавлял значение "TaskMon = \ System Folder \ taskmon.exe" к двум ключам, одним из которых является локальный компьютер, а другой - раздел реестра "Текущий пользователь", что гарантировало работу и перезагрузку червя при каждом запуске компьютера. А также он содержал значение "(Default) = \(System Folder)\shimgapi.dll" для корневого раздела реестра, что гарантировало выполнение shimgapi.dll в Internet Explorer при запуске браузера.
Затем Mydoom искал файлы со следующими расширениями: adb, asp, dbx, htm, php, pl, sht, tbb, txt, wab.
После чего червь отправлял себя по электронной почте, используя собственный механизм SMTP. А также он случайным образом генерировал адресса электронных почты, при помощи содержащихся в нем распространненных человеческих имен.
Червь попытается угадать имя принимающего сервера, добавив следующие строки к имени домена: mx; mail; smtp; mx1; mxs; mail1; relay; ns.
Также в нем содержалась куча различной информации, заранее предусмотренной, что позволяло ему избегать ненужные его автору адреса.
В период с 2004.02.01 по 2004.02.12 червь производил DDoS на сайте . Он создавал 64 потока, которые отправляли GET-запросы со случайного порта зараженного компьютера на порт 80 .
Последствия
Служба мониторинга электронной почты MessageLabs заблокировала 7,4 миллиона копий Mydoom. Вирус содержался какое-то время примерно в каждом 12-ом письме электронной почты. На его долю приходилось 20-30% мирового почтового трафика вскоре после его выпуска. Крупные веб-сайты стали перемещаться на новые адреса, чтобы избежать DDoS-атаки.
Данный инцидент вызвал замедление интернет-трафика по всему миру. По оценкам Kaspersky, от 600 000 до 700 000 компьютеров были заражены червем. Тринадцать процентов были в США, в то время как один процент был в предполагаемой стране, где он был создан, в России.
SCO, которая владеет правами на Unix, подала в суд на нескольких поставщиков и сторонников Linux, утверждая, что в системе использовался некоторый ее проприетарный код. Компания подала в суд на Novell, AutoZone и Daimler-Chrysler, а также на Red Hat и IBM. Это действие вызвало много гнева у комьюнити открытого исходного кода.
А британский музыкант Aphex Twin выпустил песню под названием W32.Mydoom.AU@mm (она какая-то слишком криповая, и я бы предпочел ее расслышать, так что я вас предупредил ;)