В продолжение предыдущей темы. "Лаборатория Касперского" сообщает об обнаружении новой версии сетевого червя Mydoom (Novarg) - Mydoom.B. На данный момент уже поступили сообщения о случаях заражения этой вредоносной программой. "Лаборатория Касперского" не исключает, что для распространения Mydoom.b были использованы компьютеры зараженные предыдущей версией червя. По этой причине не исключено, что в ближайшие часы начнется новая вирусная эпидемия, по масштабам многократно превосходящая Mydoom.a. Также, как и предыдущая версия, распространяется через Интернет и пиринговую сеть Kazaa. Червь является приложением Windows (PE EXE-файл), имеет размер 29184 байта, упакован UPX и PE-Patch. Размер распакованного файла около 49KB. Червь активизируется только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайты www.microsoft.com и www.sco.com. Часть тела вируса зашифрована. В распакованном файле имеется текстовая строка: "(sync-1.01; andy; I'm just doing my job, nothing personal, sorry)". После старта червь запускает Windows Notepad в котором демонстрирует произвольный набор символов. При инсталляции червь копирует себя с именем "explorer.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun][HKCUSoftwareMicrosoftWindowsCurrentVersionRun] "Explorer" = "%System%explorer.exe". Червь создает в системном каталоге Windows файл "ctfmon.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре: [HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32] "Apartment" = "%SysDir%ctfmon.dll". Таким образом данная DLL будет запускаться как дочерний процесс Explorer.exe.
Более подробно - http://www.viruslist.com/viruslist.html?id=144497704