Mydoom

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
Mydoom
Полное название (Касперский) Email-Worm.Win32.MyDoom
Тип Сетевой червь
Год появления 26 января 2004 года
Используемое ПО уязвимость в Microsoft SQL Server

MyDoom (известный также как Novarg, my.doom, W32.MyDoom@mm, Mimail.R) — почтовый червь для Microsoft Windows и Windows NT, распространение которого началось 26 января 2004.

Распространялся по электронной почте и через файлообменную сеть Kazaa. Файл-носитель червя имеет размер около 28 килобайт и содержит текстовую строку «sync-1.01; andy; I’m just doing my job, nothing personal, sorry», которая переводится «синхронизировать-1.01; энди; я просто делаю свою работу, ничего личного, извини»

При заражении компьютера A версией MyDoom'a, он создаёт бэкдор в системном каталоге system32, shimgapi.dll, открывающий TCP-порт в диапазоне от 3127 до 3197, а так же ещё один файл taskmon.exe. В период с 1 по 12 февраля Mydoom.A проводил DoS‑атаку на сайт SCO Group, а Mydoom.B — на сайт Microsoft.

За несколько дней до DoS-атаки SCO Group заявила, что подозревает в создании червя сторонников операционной системы GNU/Linux, в которой якобы использовался принадлежавший SCO код, и объявила награду в 250 тысяч долларов за информацию, которая поможет поймать создателей MyDoom.[1]

Хронология событий[править | править код]

26 января 2004 г.: MyDoom впервые был обнаружен. Самые ранние сообщения приходят из России. В течение нескольких часов его распространения, червь снижает производительность Интернета примерно на 10%. Компании, которые занимаются компьютерной безопасностью сообщают, что примерно 10% всех электронных писем содержат червя.

27 января 2004 г.: SCO Group предлагает вознаграждение в 250 тыс. долларов США за поимку автора червя.

28 января 2004 г.: Появляется новая версия MyDoom.B. В новой версии появилась характеристика блокировки многих сайтов новостных лент, сайтов о компьютерной безопасности, а так же сайта Microsoft. Известно так же то, что в новой версии DoS-атака на сайт Microsoft начнётся 3 февраля 2004 г. Компании, которые занимаются компьютерной безопасностью заявляют, что каждое 5 электронное письмо содержит MyDoom.

29 января 2004 г.: Распространение MyDoom начинает снижаться. Microsoft так же предлагают награду в 250 тыс. долларов США за поимку автора червя.

1 февраля 2004 г.: MyDoom начинает DoS-атаку на сайт компании SCO. В данной атаке участвуют примерно 1 миллион компьютеров.

3 февраля 2004 г.: MyDoom начинает DoS-атаку на сайт компании Microsoft. Данная атака была неудачной, и microsoft.com за всё время атаки функционировал.

10 февраля 2004 г.: Появляется новая версия DoomJuice. Данная версия для распространения использует бэкдор, оставленный shimgapi.dll.

12 февраля 2004 г.: MyDoom.A прекращает распространение, однако бэкдор, оставленный shimgapi.dll, остаётся открытым.

1 марта 2004 г.: MyDoom.B прекращает распространение. Бэкдор, так же как и в случае с MyDoom.A, остаётся открытым.

26 июля 2004 г.: MyDoom атакует Google, AltaVista и Lycos.

23 сентября 2004 г.: Появляются новые версии U, V, W и X.

18 февраля 2005 г.: Появилась новая версия AO.

Июль 2009 г.: MyDoom атакует Южную Корею и США.

Примечания[править | править код]

  1. Brian Grow, Jason Bush. Hacker Hunters: An elite force takes on the dark side of computing (англ.). BusinessWeek. The McGraw-Hill Companies Inc. (30 мая 2005). Дата обращения: 28 октября 2007. Архивировано 21 февраля 2012 года.