Mydoom

Mydoom , cunoscut și sub numele de W32.MyDoom@mm , Novarg , MiMail.R sau Shimgapi , este un vierme care afectează Microsoft Windows . A fost detectat pentru prima dată pe 26 ianuarie 2004 și a devenit cel mai rapid răspânditor vierme prin e-mail, depășind recordurile anterioare stabilite de viermii Sobig și ILOVEYOU și neînvins până în 2016. ^[1]

Prezentare generală

Mydoom pare să fi fost comandat de un spammer de e-mail pentru a trimite spam prin computerele infectate. ^[2] Viermele conține următorul mesaj text: „Andy, îmi fac treaba, nimic personal, îmi pare rău”. Acest mesaj i-a determinat pe mulți să creadă că creatorul viermelui a fost plătit pentru a-l răspândi. La început, mai multe companii de securitate și- au exprimat convingerea că viermele provine de la un programator din Rusia, deși identitatea sa este încă necunoscută. ^[3]

Tezele speculative inițiale au presupus în curând că singurul scop al viermelui era de a comite un atac DoS împotriva Grupului SCO . Conjecturile din presă, susținute de afirmațiile grupului SCO în sine, susțineau că viermele a fost creat de un software gratuit sau de un suporter Linux în represalii pentru procesele controversate ale grupului SCO împotriva software-urilor create de Torvalds . Cu toate acestea, această teorie a fost imediat respinsă de agenții de securitate, care atribuie originea viermelui bandelor organizate de criminali cibernetici . Analiza inițială a lui Mydoom a sugerat că era o variantă a viermelui Mimail - de unde și denumirea alternativă MiMail.R - alimentând teoriile că aceiași creatori se aflau în spatele celor doi viermi. Cu toate acestea, această ipoteză a fost dezmințită și în urma investigațiilor ulterioare.

Mydoom a fost redenumit de Craig Schmugar, un angajat al companiei de securitate cibernetică McAfee și unul dintre primii descoperitori ai viermelui. Schmugar a ales numele după ce a observat textul „mydom” într-o linie de cod de program. El a menționat că „A fost evident de timpuriu că el ar putea obține foarte mare. Am crezut ca având«Doom»în numele ar fi potrivit.“ ^[4]

Prezentare tehnică

Mydoom este transmis în principal prin e-mail , care apare ca o eroare de transmisie, conținând mesaje care includ „Eroare”, „Sistem de livrare a corespondenței”, „Test” sau „Tranzacție prin e-mail eșuată” în mai multe limbi, inclusiv engleză și franceză. E-mailul conține un atașament care, atunci când este executat , trimite automat viermele la toate adresele de e-mail găsite în fișierele locale de pe computer, cum ar fi agenda de contacte. De asemenea, se copiază în „folderul partajat” al programului de partajare de fișiere peer-to-peer KaZaA , în încercarea de a se răspândi în acest fel.

Mydoom evită implicarea adreselor de e-mail ale unor universități, precum Rutgers , MIT , Stanford și Berkeley , precum și cele ale unor companii precum Microsoft și Symantec . Unele rapoarte timpurii susțineau că viermele a evitat toate adresele .edu .

Versiunea originală, Mydoom.A , este descrisă ca executând două încărcături utile :

O portă din spate este instalată pe portul 3127 / tcp pentru a permite controlul de la distanță al computerului infectat (plasând fișierul SHIMGAPI.DLL în directorul system32 și executându-l ca un copil al Windows Explorer ); acesta este în esență același backdoor folosit de Mimail.
Un atac DoS este lansat împotriva site-ului SCO Group. Mulți analiști au pus la îndoială adevărata funcționalitate a acestei sarcini utile și, la testele ulterioare, s-a constatat că funcționează „corect” în doar 25% din computerele infectate.

O a doua versiune, Mydoom.B , pe lângă rularea încărcăturilor utile originale, implică și site-ul web Microsoft, blocarea accesului și prevenirea utilizării site - urilor antivirus online populare prin modificarea fișierelor gazdă, blocarea actualizărilor software ale acestora. Sau „dezarmare” "instrumente de eliminare a virusului. Mai puține copii ale acestei versiuni în circulație au împiedicat serverele Microsoft să sufere daune excesive. ^[5] ^[6]

Cronologie

26 ianuarie 2004 : virusul Mydoom este identificat în jurul orei 8:00 EST (1:00 pm UTC ), chiar înainte de începerea zilei de lucru în America de Nord, primele mesaje venind din Rusia. Pentru câteva ore la mijlocul zilei, răspândirea rapidă a viermelui încetinește performanța generală a internetului cu aproximativ 10%, iar timpul mediu de încărcare pentru o pagină web crește cu aproximativ 50%. Companiile de securitate cibernetică raportează că Mydoom este autorul unuia din zece mesaje de e-mail. Deși atacul Mydoom DoS era programat să înceapă la 1 februarie 2004, site-ul SCO Group devine offline pentru o scurtă perioadă de timp în orele următoare eliberării viermelui. Nu este clar dacă Mydoom este responsabil pentru acest lucru. SCO Group a susținut că a fost ținta multor atacuri DoS în 2003, care nu aveau legătură cu virușii informatici.

27 ianuarie 2004 : SCO Group oferă o recompensă de 250.000 USD pentru informațiile care duc la arestarea creatorului viermelui. În Statele Unite , FBI și Serviciul Secret încep să investigheze eroarea .

28 ianuarie 2004 : A doua versiune a viermelui este descoperită la două zile după atacul inițial. Primele mesaje trimise de Mydoom.B sunt identificate în jurul orei 14:00 UTC și încă par să vină din Rusia. Noua versiune include atacul original împotriva Grupului SCO și un atac identic care vizează Microsoft.com, programat să înceapă pe 3 februarie 2004; pentru ambele atacuri, însă, apar suspiciuni cu privire la eficiența lor efectivă și la funcționarea codului lor. Mydoom.B blochează, de asemenea, accesul la site-urile a peste 60 de companii de securitate cibernetică, precum și la reclame pop-up furnizate de DoubleClick și alte companii de marketing online. În prezent, companiile de securitate cibernetică raportează că Mydoom este responsabil pentru aproximativ unul din cinci e-mailuri.

29 ianuarie 2004 : Bug-urile se găsesc în codul Mydoom.B care încetinesc propagarea inițial așteptată. Microsoft oferă recompensă de 250.000 de dolari pentru informațiile care duc la arestarea creatorului viermelui.

1 februarie 2004 : Se estimează că aproximativ un milion de computere infectate din întreaga lume au inițiat un atac DoS masiv, cel mai mare până acum. De îndată ce 1 februarie ajunge în Asia de Est și Australia, SCO elimină www.sco.com din DNS în jurul orei 17:00 UTC pe 31 ianuarie.

3 februarie 2004 : începe atacul DoS împotriva Microsoft, în timp ce aceeași companie se protejează oferind un site web care nu va fi afectat de vierme, information.microsoft.com . ^[7] Cu toate acestea, impactul atacului este minim, iar site-ul oficial rămâne funcțional. Acest lucru este atribuit distribuției relativ slabe a variantei Mydoom.B, toleranței ridicate a serverelor și precauțiilor luate de companie. Unii experți subliniază că greutatea viermelui (în termeni de octeți) este mai mică decât cea a actualizărilor de software și a altor servicii web oferite în mod obișnuit de Microsoft.

9 februarie 2004 : Doomjuice, o insectă parazită, începe să se răspândească. Acest vierme exploatează backdoor-ul creat de Mydoom pentru a se răspândi, deși nu poate ataca computerele care nu au fost infectate anterior și, prin urmare, considerate mai puțin periculoase. Sarcina sa utilă, similară cu una din Mydoom.B, este un atac DoS împotriva Microsoft. ^[8]

12 februarie 2004 : Mydoom.A este programat pentru a opri transmisia. Cu toate acestea, ușa din spate rămâne deschisă chiar și după acea dată.

1 martie 2004 : Mydoom.B este programat să înceteze difuzarea. Cu toate acestea, la fel ca în cazul Mydoom.A, ușa din spate rămâne deschisă chiar și după acea dată.

26 iulie 2004 : O variantă a Mydoom atacă Google , AltaVista și Lycos , blocând complet funcțiile popularului motor de căutare Google pentru cea mai mare parte a zilei și creând încetiniri vizibile în motoarele AltaVista și Lycos timp de ore întregi.

10 septembrie 2004 : apar versiunile U, V, W și X ale Mydoom, provocând îngrijorări cu privire la pregătirea unui nou și mai puternic atac.

18 februarie 2005 : apare versiunea AO a Mydoom.

Iulie 2009 : MyDoom reapare în atacurile cibernetice care afectează Coreea de Sud și Statele Unite . ^[9]

Notă

^ (EN) CNN.com - Firma de securitate: MyDoom worm cel mai rapid încă - 28 ianuarie 2004 , pe edition.cnn.com, 28 ianuarie 2004. Accesat 16 august 2016.
^ (RO) The Seattle Times: Business & Technology: E-mail-urile acuzate de spam cresc brusc pe seattletimes.nwsource.com, 18 februarie 2004. Accesat 16 august 2016.
^ (EN) Virulent computer MyDoom virulent creat în Rusia, ST. PETERSBURG TIMES , pe highbeam.com , 30 ianuarie 2004. Accesat la 14 septembrie 2016 (arhivat din original la 8 octombrie 2016) .
^ (RO) MAI MULTE DOOM? , la europe.newsweek.com . Adus pe 14 septembrie 2016 .
^ (RO) Virusul Mydoom începe să dispară , pe news.bbc.co.uk, 4 februarie 2004. Adus pe 14 septembrie 2016.
^ (RO)Cum să contracarezi e-mailul reînnoit „ MyDoom” pe abcnews.go.com, 30 ianuarie 2004. Accesat la 14 septembrie 2016.
^ (RO) Ce ar trebui să știți despre variantele Mydoom Worm: Mydoom.A și Mydoom.B pe information.microsoft.com, 27 ianuarie 2004. Accesat la 15 septembrie 2016 (depus de „url original la 4 februarie 2004) .
^ (EN) W32.HLLW.Doomjuice , pe symantec.com . Adus la 15 septembrie 2016 .
^ (RO) Lazy Hacker și Little Worm au lansat Cyberwar Frenzy pe wired.com, 8 iulie 2009. Accesat la 15 septembrie 2016.

Elemente conexe

Vierme

Portal IT : accesați intrările Wikipedia care se ocupă cu IT

[1] (EN) CNN.com - Firma de securitate: MyDoom worm cel mai rapid încă - 28 ianuarie 2004 , pe edition.cnn.com, 28 ianuarie 2004. Accesat 16 august 2016.

[2] (RO) The Seattle Times: Business & Technology: E-mail-urile acuzate de spam cresc brusc pe seattletimes.nwsource.com, 18 februarie 2004. Accesat 16 august 2016.

[3] (EN) Virulent computer MyDoom virulent creat în Rusia, ST. PETERSBURG TIMES , pe highbeam.com , 30 ianuarie 2004. Accesat la 14 septembrie 2016 (arhivat din original la 8 octombrie 2016) .

[4] (RO) MAI MULTE DOOM? , la europe.newsweek.com . Adus pe 14 septembrie 2016 .

[5] (RO) Virusul Mydoom începe să dispară , pe news.bbc.co.uk, 4 februarie 2004. Adus pe 14 septembrie 2016.

[6] (RO)Cum să contracarezi e-mailul reînnoit „ MyDoom” pe abcnews.go.com, 30 ianuarie 2004. Accesat la 14 septembrie 2016.

[7] (RO) Ce ar trebui să știți despre variantele Mydoom Worm: Mydoom.A și Mydoom.B pe information.microsoft.com, 27 ianuarie 2004. Accesat la 15 septembrie 2016 (depus de „url original la 4 februarie 2004) .

[8] (EN) W32.HLLW.Doomjuice , pe symantec.com . Adus la 15 septembrie 2016 .

[9] (RO) Lazy Hacker și Little Worm au lansat Cyberwar Frenzy pe wired.com, 8 iulie 2009. Accesat la 15 septembrie 2016.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]