Mydoom

Mydoom, познат още като Novarg, Worm.SCO, Mimail.R и Shimgapi, е компютърен вирус тип червей, който заразява компютри, използващи операционната система Microsoft Windows. За първи път е бил забелязан на 26 януари 2004, като към януари 2004 представлява най-бързо разпространяващия се червей, изпреварвайки дори червея Sobig.

Mydoom се разпространява най-често чрез електронната поща, като писмата имат заглавия от рода на: „Hi“, „Test“, „Error“, „Mail Delivery System“, „Delivery Status Notification“, „Server Report“ или „Mail Transaction Failed“ на различни езици (английски, френски, немски и др.). Червеят съдържа прикачен файл, който ако се изпълни, инсталира вируса, който след това претърсва файловете за електронни адреси и се разпраща на всеки един от тях. За да увеличи шанса си за разпространение, червеят се копира и в споделенатата папка на програмата за обмяна на файлове KaZaA.

Mydoom избягва да се изпраща на адреси на определени университети като Rutgers, MIT, Stanford and UC Berkeley, както и на някои фирми като Microsoft и Symantec. Отначало се твърдеше, че той избягва всички адреси с разширение.edu, но това се оказа погрешно.

Първоначалната версия на червея, Mydoom.A, заразява компютрите по два начина:

• отваря т.нар. backdoor (задна врата), позволяваща отдалечен контрол върху заразения компютър (чрез поставяне на файла SHIMGAPI.DLL в папката system32 и неговото извикване като подпроцес на Windows Explorer);
• подготвя DoS-атака (атака отказ на услуга) срещу сайта на фирмата SCO Group, която започва на 1 февруари 2004.

Втората версия, наречена Mydoom.B, атакува сайта на Microsoft, както и блокира достъпа към сайтовете на Microsoft и известни антивирусни производители, като по този начин пречи на актуализирането на антивирусните програми.

Първоначалните анализи предполагат, че Mydoom е вариант на червея Mimail – оттук и алтернативното име Mimail.R. Това води до предположението, че същите хора са отговорни и за двата червея. По-късните анализи обаче не са така убедителни, че съществува връзка между вирусите.

Червеят съдържа съобщението: „andy; I'm just doing my job, nothing personal, sorry“ (Анди, аз просто си върша работата, нищо лично, съжалявам), което е предизвикало спекулации, дали авторът на червея не е работил срещу заплащане за създаването му. Други (в частност SCO Group) спекулират, че атаката е била предизвикана:

• от защитници на Линукс и движението за отворен код в отговор на действията на SCO Group,
• от самата SCO Group с цел спечелването на повече симпатия от обществото или
• от спамъри, целящи разпращането на рекламни писма от заразените компютри.

Хроника

• 26 януари 2004: Вирусът Mydoom е забелязан за пръв път около 15 часа българско време. Първите съобщения са от Русия. За период от няколко часа изключително бързото разпространение на червея предизвиква забавяне с около 10% на движението по интернет и с около 50% на зареждането на страниците. Фирми по сигурността докладват, че по това време всяко десето писмо е заразено.

Въпреки че DoS-атаките на Mydoom са били запланувани за 1 февруари 2004, сайтът на SCO Group е свален само няколко часа след появата на червея. Не е ясно дали именно Mydoom е отговорен за това. Срещу сайта на SCO Group вече имаше няколко DoS-атаки още през 2003, които не бяха свързани с вируси.

• 27 януари: SCO Group предлага 250 000 щатски долара награда за информация, която би позволила залавянето на създателя на червея. В Щатите ФБР и тайните служби започват разследване на вируса.

• 28 януари: Открита е втора версия на червея. Първите съобщения, изпратени от Mydoom.B, се появяват около 16 часа българско време и също идват от Русия. Новата версия включва оригиналната DoS-атака срещу SCO Group и още една атака срещу microsoft.com, която трябва да започне на 3 февруари 2004. Mydoom.B също блокира достъпа към сайтове на около 60 антивирусни производителя, както и рекламните прозорци (pop-up) от DoubleClick и други подобни фирми.

Докладва се, че всяко пето писмо в мрежата е заразено с Mydoom.

• 29 януари: Противно на очакванията, разпространението на Mydoom се забавя поради грешки в кода Mydoom.B. Microsoft също предлага 250 000 долара награда за информация за залавянето на създателя на Mydoom.B.

• 30 януари: Докладват се писма от червея на френски, изпратени от канадски адреси.

• 1 февруари: Около един милион компютри, заразени с Mydoom, започват масивна разпределена DoS-атака срещу сайта на SCO Group – най-голямата такава атака дотогава. Сървърите на www.sco.com und www.sco.de Архив на оригинала от 2013-07-04 в Wayback Machine. са свалени.

• 2 февруари: SCO Group премества сайта си на www.thescogroup.com.

• 3 февруари: Запланувана е DoS-атака срещу Microsoft.

• 12 февруари: Mydoom.A е програмиран да спре разпространението си. Задната врата (backdoor), създадена от Mydoom.A, все пак остава отворена.

• 1 март: Mydoom.B е програмиран да спре разпространението си; както и при Mydoom.A, задната врата остава отворена.

Външни препратки

• Mydoom/Novarg entry at Viruslist.com Архив на оригинала от 2004-02-02 в Wayback Machine.
• Technical analysis and disassembly Архив на оригинала от 2004-01-28 в Wayback Machine. of Mydoom.A
• Description of Mydoom.A
• Description of Mydoom.B