MyDoom появился еще в далеком 2004 году и считается одной из самых известных угроз за всю историю наблюдений. Он принес убытки в размере 40 миллиардов долларов.
Всем салют, дорогие друзья!
Двадцать седьмое января 2004 года — дата, которая навсегда войдет в историю Мировой Паутины. Один из судных дней... Очередной несостоявшийся виртуальный апокалипсис, который столько раз пророчили, но который ни разу так и не грянул.
На роль всемогущих богов, желающих огненным молотом Армагеддона ввергнуть в небытие ее величество Сеть, претендовали в свое время и малыш (всего-то 30Кб кода) Magistr; и гроза “мамок”, стиратель BIOS CIH; и первый многокомпонентный вирус, который, казалось бы, не должен работать, Hybris (он был ближе всех к успеху, но и на него нашлась управа), и пронырливый червь Sobig.F. И вот — новая ветка эволюции. Новые строчки кода... гениальные строчки. На сцене появился MyDoom, известный интернет-общественности также как Novarg.
⚠️ Что самое интересное, недавно был опубликован отчет, согласно которому 19-летний червь MyDoom не просто до сих пор «жив», но даже наращивает активность.
✅ Вирус стал настоящим рекордсменом по скорости распространения и смог побить рекорды ILOVEYOU и Sobig, при этом парализовав работу поисковых систем (Google, Yahoo!, AltaVista и Lycos), а исходящий от него спам снизил мировой интернет-трафик на 10 процентов. Только задумайтесь: MyDoom генерировал 16-25% от общего числа всех писем в мире.
Но и это еще не все рекорды...
✅ Эксперты из компании McAfee признали MyDoom самым «дорогим» вирусом в истории: убытки, связанные с потерей производительности и прекращением торговли в связи с заражением вирусом в результате крупных спам-кампаний, в конечном итоге составили около 40 миллиардов долларов.
Как работает MyDoom?
MyDoom распространяли через файлообменник KaZaA и электронную почту (темы писем, как обычно, звучали «Привет!», «Ошибка», «Ошибка доставки», «Тест» и так далее — играли на любопытстве пользователей). Внутри были приложения с двойными расширениями: первое имитировало что-нибудь безобидное типа .txt или .doc, а вторым были .bat, .exe, .cmd и так далее — то есть исполняемые.
Казалось бы, такие приманки можно отнести к числу самых примитивных, но они работают до посей день.
Вирус прописывался в системе, вносил изменения в реестр, «присасывался» к портам и мог загружать файлы извне. Действовал вредонос очень избирательно, грамотно подбирая серверы — получатели писем, избегая отправки на ряд «опасных» для него доменов (значились avp, .gov, *sopho*, *icrosof* и множество других) и адресов (abuse@, @postmaster и др.) — условий было очень много.
✅ На скриншоте ниже вы можете увидеть сообщение, которое сгенерировано MyDoom:
Жертвами таких вредоносных рассылок являются компании из самых разных отраслей, начиная от высоких технологий, оптовой и розничной торговли, до здравоохранения, образования и производства.
⚠️ На сегодняшний день MyDoom полностью самодостаточен и автономен. Червь может распространяться вечно, до тех пор, пока люди продолжают открывать почтовые вложения.
