Компания Panda Software зафиксировала появление нового червя - Mydoom.AO, который использует Интернет-поисковики для быстрого распространения.
Этот червь использует Google, Altavista, Yahoo и Lycos для поиска email-адресов, на которые он рассылает себя. Таким образом, один зараженный компьютер может распространять тысячи копий червя всего за несколько минут. Это означает, что вероятность заражения червем Mydoom.AO высока.
Mydoom.AO использует так называемую 'социальную инженерию' для обмана пользователей, так что распространяемые письма выглядят как сообщения о недоставленных письмах, например: Message could not be delivered, Mail System Error - Returned Mail, и Delivery reports about your e-mail.
Текст сообщения также варьируется. Один из примеров:
Your message (was not|could not be) delivered because the destination (computer|server) was (not|un) reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters (текст в скобках варьируется).
Имя вложенного файла, который в действительности содержит червя, выбирается произвольно и имеет одно из следующих расширений: ZIP, COM, SCR, EXE, PIF, BAT или CMD.
Если червь заражает компьютер, он создает свою копию под именем JAVA.EXE и ищет email-адреса в адресной книге Windows, временных файлах Интернет и файлах на компьютере с определенными расширениями. После того, как червь выполнит эти действия, он выбирает имена доменов из найденных адресов и использует их для поиска слов в Google, Altavista, Yahoo и Lycos. И наконец, Mydoom.AO отсылает себя на все найденные адреса.
Червь также создает несколько ключей реестра для того, чтобы обеспечить свой запуск при каждом старте системы.
Чтобы помочь пользователям избежать заражения червем Mydoom.AO Panda Software выпустила бесплатную утилиту PQRemove для обнаружения и удаления этого вредоносного кода. Утилиту можно скачать здесь.
