Mydoom - Mydoom

Mydoom, také známý jako W32.MyDoom@mm, Novarg, Mimail.R a Shimgapi, je počítačový červ ovlivňující Microsoft Windows. Poprvé byl spatřen 26. ledna 2004. Stal se nejrychleji se šířícím e-mailovým červem vůbec (k lednu 2004^{[Aktualizace]}), překračující předchozí záznamy stanovené Sobigský červ a MILUJI TĚ, což je rekord, který do roku 2020 ještě nebyl překonán.^[1]

Zdá se, že Mydoom byl zadán e-mailem spammeři za účelem odeslání nevyžádané pošty prostřednictvím infikovaných počítačů.^[2] Červ obsahuje textovou zprávu „andy; dělám jen svou práci, nic osobního, promiň,“ což vedlo mnoho lidí k přesvědčení, že tvůrce červa byl placen. Hned na začátku několik bezpečnostních firem vyjádřilo své přesvědčení, že červ pochází od programátora v Rusku. Skutečný autor červa není znám.

Spekulativní rané pokrytí mělo za to, že jediným účelem červa bylo spáchat a distribuovaný útok odmítnutí služby proti Skupina SCO. 25 procent hostitelů infikovaných Mydoom.A se zaměřilo na skupinu SCO se záplavou provozu. Domněnky obchodního tisku, vyvolané vlastními nároky skupiny SCO, si myslely, že to znamená, že červ byl vytvořen Linux nebo otevřený zdroj zastánce odplaty za kontroverzní skupinu SCO právní kroky a veřejná prohlášení proti Linuxu. Tuto teorii bezpečnostní vědci okamžitě odmítli. Od té doby byl rovněž odmítnut agenty činnými v trestním řízení vyšetřujícími virus, kteří jej přisuzují gangům organizovaného zločinu online.

Počáteční analýza Mydoomu naznačila, že se jednalo o variantu Mimail červ - odtud alternativní název Mimail.R—Vyvolávající spekulace, že za oba červy jsou zodpovědní stejní lidé. Pozdější analýzy byly méně přesvědčivé, pokud jde o souvislost mezi dvěma červy.

Mydoom pojmenoval Craig Schmugar, zaměstnanec firmy zabývající se počítačovou bezpečností McAfee a jeden z prvních objevitelů červa. Název si Schmugar vybral poté, co si všiml textu „mydom“ v řádku kódu programu. Poznamenal: „Již brzy bylo zřejmé, že to bude velmi velké. Myslel jsem, že mít ve jménu„ zkázu “by bylo vhodné.“^[3]

MyDoom je dosud nejničivější počítačový virus, který způsobil škody za více než 38 miliard dolarů.[1]

Technický přehled

Mydoom je primárně přenášen prostřednictvím e-mailem, která se objevuje jako chyba přenosu, přičemž předmětové řádky zahrnují „Chyba“, „Systém doručování pošty“, „Test“ nebo „Selhala transakce pošty“ v různých jazycích, včetně angličtiny a francouzštiny. Pošta obsahuje příloha to když popraven, znovu odešle červa na e-mailové adresy nalezené v místních souborech, jako je adresář uživatele. Rovněž se zkopíruje do „sdílené složky“ složky peer-to-peer Sdílení souborů aplikace Kazaa ve snaze šířit se tímto způsobem.

Mydoom se vyhýbá cílení na e-mailové adresy na některých univerzitách, jako je např Rutgers, MIT, Stanford a UC Berkeley, stejně jako některé společnosti jako Microsoft a Symantec. Některé rané zprávy tvrdily, že se červ vyhýbá Všechno .edu adresy, ale není tomu tak.

Původní verze, Mydoom.A, je popsán jako nesoucí dva užitečné zatížení:

A zadní dveře na přístav 3127 / tcp umožňující dálkové ovládání podvraceného počítače (vložením vlastního souboru SHIMGAPI.DLL do adresáře system32 a jeho spuštěním jako dětský proces z Průzkumník Windows ); toto je v podstatě stejný backdoor používaný Mimail.
A útok odmítnutí služby proti webu kontroverzní společnost Skupina SCO, s časovým zahájením 1. února 2004. Mnoho analytiků virů pochybovalo, zda by toto užitečné zatížení skutečně fungovalo. Pozdější testování naznačuje, že funguje pouze v 25% infikovaných systémů.

Druhá verze, Mydoom.BKromě přenášení původního užitečného obsahu se zaměřuje také na web společnosti Microsoft a blokuje přístup na weby společnosti Microsoft a populární online antivirus weby úpravou soubor hostitelů, čímž blokuje nástroje pro odstranění virů nebo aktualizace antivirového softwaru. Menší počet kopií této verze v oběhu znamenal, že servery společnosti Microsoft utrpěly jen málo škodlivých účinků.^[4]^[5]

Časová osa

26. ledna 2004: Virus Mydoom je poprvé identifikován kolem 8:00 EST (1300 UTC), těsně před začátkem pracovního dne v Severní Americe. Nejstarší zprávy pocházejí z Ruska. Po dobu několika hodin uprostřed dne rychlé šíření červa zpomaluje celkový výkon internetu přibližně o deset procent a průměrně webová stránka doby načítání přibližně o padesát procent. Společnosti zabývající se počítačovou bezpečností hlásí, že Mydoom je v tuto chvíli zodpovědný za přibližně jednu z deseti e-mailových zpráv.

Ačkoli útok Myopomu na odmítnutí služby měl být zahájen 1. února 2004, Skupina SCO Web se krátce po několika hodinách od vydání červa vypne. Není jasné, zda za to byl zodpovědný Mydoom. Skupina SCO tvrdila, že byla terčem několika distribuované odmítnutí služby útoky v roce 2003, které nesouvisely s počítačovými viry.

27. ledna: Skupina SCO nabízí odměnu 250 000 USD za informace vedoucí k zatčení tvůrce červa. V USA je FBI a Tajná služba zahájit vyšetřování červa.
28. ledna: Druhá verze červa je objevena dva dny po počátečním útoku. První zprávy odeslané serverem Mydoom.B jsou identifikovány kolem 1400 UTC a také pocházejí z Ruska. Nová verze obsahuje původní útok odmítnutí služby proti SCO Group a identický útok zaměřený na Microsoft.com počínaje 3. únorem 2004; oba útoky však mají podezření, že jsou buď rozbité, nebo nefunkční návnadový kód, který má skrýt zadní dveře funkce Mydoom. Mydoom.B také blokuje přístup na webové stránky více než 60 společností zabývajících se počítačovou bezpečností a také vyskakovací reklamy poskytované společností Dvojklik a další online marketingové společnosti.

Šíření MyDoom vrcholí; společnosti zabývající se počítačovou bezpečností uvádějí, že Mydoom je v současné době zodpovědný za zhruba jednu z pěti e-mailových zpráv.

29. ledna: Šíření Mydoomu začíná klesat, protože chyby v kódu Mydoom.B zabraňují jeho šíření tak rychle, jak se původně očekávalo. Společnost Microsoft nabízí odměnu 250 000 USD za informace vedoucí k zatčení tvůrce Mydoom.B.
1. února 2004: Odhaduje se, že jeden milion počítačů po celém světě infikovaných Mydoomem zahájil masivní distribuovaný útok odmítnutí služby - což je dosud největší útok. Jak 1. února dorazí do východní Asie a Austrálie, SCO odstraní www.sco.com z DNS kolem roku 1700 UTC 31. ledna. (Dosud neexistuje žádné nezávislé potvrzení toho, že www.sco.com ve skutečnosti trpí plánovaným DDOS.)
3. února: Začíná distribuovaný útok služby Mydoom.B na Microsoft, na který se Microsoft připravuje nabídkou webu, který nebude ovlivněn červem, information.microsoft.com.^[6] Dopad útoku však zůstává minimální a www.microsoft.com zůstává funkční. To lze připsat poměrně nízké distribuci varianty Mydoom.B, vysoké toleranci zatížení webových serverů společnosti Microsoft a preventivním opatřením společnosti. Někteří odborníci poukazují na to, že zátěž je menší než zátěž aktualizací softwaru společnosti Microsoft a dalších podobných webových služeb.
9. února: Doomjuice, „parazitický“ červ, se začíná šířit. Tento červ používá k šíření zadní vrátka, které zanechal Mydoom. Neútočí na neinfikované počítače. Jeho užitečné zatížení, podobné jednomu z Mydoom.B, je útokem typu odmítnutí služby proti společnosti Microsoft.^[7]
12. února: Mydoom.A je naprogramován tak, aby se přestal šířit. Zadní vrátka však zůstanou po tomto datu otevřená.
1. března: Mydoom.B je naprogramován tak, aby zastavil šíření; stejně jako u Mydoom.A zůstává zadní vrátka otevřená.
26. července: Varianta útoků Mydoom Google, AltaVista a Lycos, úplné zastavení funkce populárního vyhledávače Google pro větší část pracovního dne a vytváření znatelných zpomalení v motorech AltaVista a Lycos po celé hodiny.
10. září: Objevují se verze MyDoom U, V, W a X, což vyvolává obavy, že se připravuje nový, výkonnější MyDoom.
18. února 2005: Zobrazí se verze MyDoom AO.
Červenec 2009: MyDoom se znovu objevuje v Kybernetické útoky z července 2009 ovlivňuje Jižní Koreu a USA.^[8]

Odkazy v médiích

Richard D. James má dráha pojmenovaný po tomto viru ve své 11. splátce Série Analord. Některé z dalších skladeb v e.p. jsou také pojmenovány po virech.

Viz také

Časová osa významných počítačových virů a červů

Reference

^ „Bezpečnostní firma: červ MyDoom dosud nejrychlejší“. CNN.com. Time Warner. 2004-01-28.
^ Tiernan Ray (2004-02-18). „E-mailové viry jsou obviňovány, protože spam prudce stoupá“. Seattle Times. Společnost Seattle Times.
^ „Více Doom?“. Newsweek. Washington Post Company. 2004-02-03.
^ „Virus Mydoom začíná chátrat“. BBC novinky. BBC. 04.02.2004.
^ https://abcnews.go.com/Technology/ZDM/story?id=97385
^ „Microsoft Information: MyDoom (Wayback Archive from 4. února 2004)“. microsoft.com. 04.02.2004. Archivovány od originálu 4. února 2004.CS1 maint: unfit url (odkaz)
^ „W32.HLLW.Doomjuice“. Symantec Corporation. 2007-02-13.
^ „Lazy Hacker and Little Worm vyrazil Cyberwar Frenzy“. Drátové zprávy. 2009-07-08. Citováno 2009-07-09.

externí odkazy

Útoky MyDoom a DDoS
„Email-Worm.Win32.Mydoom.a“. Viruslist.com. Kaspersky Lab. Archivovány od originál dne 2006-10-15.
SCO nabízí odměnu za zatčení a odsouzení autora viru Mydoom - Tisková zpráva SCO, 27. ledna 2004. Všimněte si tvrzení, že k tomuto datu již začal útok odmítnutí služby.
"Mydoom". Informační stránky F-Secure Computer Virus. F-Secure Corporation.
„Win32.Mydoom.A“. Bezpečnostní poradce. Computer Associates International. Archivovány od originál dne 10.04.2005. Citováno 2005-04-30.
Informace o červu Mydoom ze stránky Symantec.com

[1] „Bezpečnostní firma: červ MyDoom dosud nejrychlejší“. CNN.com. Time Warner. 2004-01-28.

[2] Tiernan Ray (2004-02-18). „E-mailové viry jsou obviňovány, protože spam prudce stoupá“. Seattle Times. Společnost Seattle Times.

[3] „Více Doom?“. Newsweek. Washington Post Company. 2004-02-03.

[4] „Virus Mydoom začíná chátrat“. BBC novinky. BBC. 04.02.2004.

[5] ttps://abcnews.go.com/Technology/ZDM/story?id=97385

[6] „Microsoft Information: MyDoom (Wayback Archive from 4. února 2004)“. microsoft.com. 04.02.2004. Archivovány od originálu 4. února 2004.CS1 maint: unfit url (odkaz)

[7] „W32.HLLW.Doomjuice“. Symantec Corporation. 2007-02-13.

[Lazy_Hacker_and_Little_Worm_Set_Off_Cyberwar_Frenzy-8] „Lazy Hacker and Little Worm vyrazil Cyberwar Frenzy“. Drátové zprávy. 2009-07-08. Citováno 2009-07-09.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]