Kaspersky Lab ziņo par jaunu datorvīrusu I-Worm.Moodown.b. Inficēšanās gadījumi ar šo vīrusu konstatēti arī Latvijā. Moodown.b jau ir pievienots Kaspersky Anti-Virus datubāzei. Tas ir vīruss- tārps, kas pielikumu veidā ar inficētām elektroniskām vēstulēm izplatās caur Internetu. Tārps ir PE EXE-fails, kura izmērs ir aptuveni 21 KB. Tārps ir sapakots ar UPX, atkompresēta faila izmērs ir apmēram 40 KB. Instalācija Pēc palaišanas tārps ekrānā parāda melīgu paziņojumu par kļūdu "The file could not be opened Tārps sevi kopē Windows katalogā ar nosaukumu "services.exe" un šo failu reģistrē sistēmas reģistra auto palaišanas atslēgā: [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun] "service" = "%windir%services.exe -serv" Bez tam tārps rada unikālu identifikatoru savai klātesamībai atmiņā "AdmSkynetJklS003". Tārps rada lielu daudzumu savu kopiju visos apakškatalogos, kuri savā nosaukumā satur vārdu "Share" vai "Sharing" visos pieejamajos diskos sākot no C līdz Z ar nosaukumiem, kas izvēlēti no saraksta: winxp_crack.exe dolly_buster.jpg.pif strippoker.exe photoshop 9 crack.exe matrix.scr porno.scr angels.pif hardcore porn.jpg.exe office_crack.exe serial.txt.exe cool screensaver.scr eminem - lick my pussy.mp3.pif nero.7.exe virii.scr e-book.archive.doc.exe max payne 2.crack.exe how to hack.doc.exe programming basics.doc.exe e.book.doc.exe win longhorn.doc.exe dictionary.doc.exe rfc compilation.doc.exe sex sex sex sex.doc.exe doom2.doc.pif kā arī kopē dažas savas kopijas ZIP formātā ar nosaukumiem no saraksta: document msg doc talk message creditcard details attachment me stuff posting textfile concert information note bill swimmingpool product topseller ps shower aboutyou nomoney found story mails website friend jokes location final release dinner ranking object mail2 part2 disco party misc #n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#! Vairošanās Tārps meklē failus ar paplašinājumiem adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs, un wab, meklē tajos elektroniskā pasta adreses un uz atrastajām adresēm izsūta savas kopijas. Vēstuļu nosūtīšanai tārps izmanto savu personīgo SMTP-bibliotēku. Inficētās vēstules tiek veidotas no patvaļīgām kombinācijām: Virsraksts: Hi hi hello read it immediately something for you warning information stolen fake unknown Vēstules teksts: AnythingOk? anything ok? what does it mean? ok i'm waiting read the details. here is the document. read it immediately! my hero here is that true? is that your name? is that your account? i wait for a reply! is that from you? you are a bad writer I have your password! something about you! kill the writer of this document! i hope it is not true! your name is wrong i found this document about you yes, really? that is bad here it is see you greetings stuff about you? something is going wrong! information about you about me from the chatter here, the serials here, the introduction here, the cheats that's funny do you? reply take it easy why? thats wrong misc you earn money you feel the same you try to steal you are bad something is going wrong something is fool Tārpa Mydoom likvidēšana Analoģiski vairākiem citiem tārpiem, šis tārps sevī satur tārpa Mydoom "likvidēšanas" funkciju no inficētā datora. Tādēļ tas meklē Windows sistēmas reģistrā "Explorer" un "Taskmon" atslēgas sekojošajos atzaros: [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun] [HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun] kā arī nodzēš atslēgu: [HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32] Pārējais Tārps nodzēš no Windows sistēmas reģistra "KasperskyAv" un "system." atslēgas.