Архив

Новый Mydoom на несколько часов затруднил доступ к крупнейшим поисковикам Интернета

26 июля в течение нескольких часов доступ к поисковым системам Google, Lycos, Yahoo и принадлежащей ей AltaVista был сильно затруднен из-за огромного количества автоматических запросов, обрушившихся на них с зараженных вирусами компьютеров. Причиной сбоев стала новая версия вируса Mydoom. По мнению экспертов, создатели червя использовали поисковые системы в целях сбора адресов электронной почты — вероятно, для создания баз по рассылке спама.

Новая версия Mydoom, как и все предыдущие, распространяется посредством электронной почты в виде вложений в зараженные электронные письма, которые, как правило, рассылаются от имени провайдера. Текст писем, содержащих этот вирус, примерно следующий: «Уважаемый пользователь! Мы обнаружили, что Ваш компьютер используется для рассылки спама. Скорее всего это происходит потому, что Ваш компьютер заражен вирусом. Пожалуйста, следуйте инструкциям, которые содержатся в прикрепленном файле». Вирус активизируется при запуске приложения к зараженному электронному письму. Он инсталлирует себя в систему и начинает процедуру саморазмножения. Для этого он сканирует файловую систему компьютера в поисках электронных адресов, по которым впоследствии рассылает свои копии.

Cоздатели новой версии Mydoom внедрили в него уникальную технологию: теперь Mydoom ищет адреса и с помощью четырех поисковых систем, посылая им для этого специальные запросы. Полученный от сервера ответ анализируется в поиске содержащихся в нем электронных адресов, по которым и производится рассылка. «Предыдущие версии вируса сканировали только адресные книги конкретных пользователей. Mydoom использует абсолютно новую технику. Не думаю, что мы ранее встречались с чем-то подобным», — говорит Грэм Клули, представитель компании Sophos, специализирующейся на компьютерной безопасности.

По сообщению издания New Scientist, новый Mydoom обучен еще одной уникальной технологии распознавания адресов электронной почты. Поскольку самый распространенный способ составления базы данных адресов для дальнейшей рассылки по ним спама — сканирование веб-страниц, многие предпочитают публиковать в Интернете свои адреса в искаженном виде — например, вместо user@mail.ru указывать user[at]mail.ru. Новый Mydoom способен извлекать и такие зашифрованные адреса.

Основным деструктивным эффектом Mydoom является функция установки так называемой backdoor-программы. Внедряясь на компьютер, червь с помощью этой программы открывает на зараженном компьютере порт для приема удаленных команд. Это позволяет вирусописателям полностью контролировать зараженную машину.

Анна Артамонова, директор по маркетингу и связям с общественностью Mail.ru, полагает, что основной целью авторов новой модификации вируса Mydoom был сбор базы адресов электронной почты, а поисковики пострадали опосредованно, т.е. никто специально на них атаку не организовывал. «Если бы была задача сделать атаку на поисковики, то она решалась бы несколько по-другому», — считает Анна Артамонова.

Источник:
BBC
www.vremya.ru
«Лаборатория Касперского»

Новый Mydoom на несколько часов затруднил доступ к крупнейшим поисковикам Интернета

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике