Mydoom

Mydoom, também conhecido como W32.MyDoom@mm, Novarg, Mimail.R e Shimgapi, é um verme computacional que afeta o sistema operativo Microsoft Windows. Sua primeira aparição foi em 26 de janeiro de 2004. Tornou-se o worm de mais rápida infecção através de e-mail, excedendo os recordes anteriores, pertencentes ao Sobig Worm.^[1]

O Mydoom aparentemente foi encaminhado através de spammers, e também gerado por computadores infectados ^[2] O worm continha a seguinte mensagem:

Mensagem original: "andy: I'm just doing my job, nothing personal, sorry,"
Tradução: "andy: Estou apenas fazendo meu trabalho, nada pessoal, desculpe-me,"

Tal mensagem fez várias pessoas acreditarem que o criador do worm foi pago para fazê-lo. Mais tarde, várias empresas de segurança expressaram sua opinião de que o worm foi concebido por um programador na Rússia. O verdadeiro criador do worm continua desconhecido.

Em uma especulação posterior, que é só uma especulação pois no inicio não se havia nenhuma intenção com o worm mas depois de compreendido o seu potencial, vários ataques foram executados utilizando as máquinas zumbis, porteriormente, foi descoberto que o propósito do worm era efetuar um ataque DDOS contra o SCO Group. 25% da variante Mydoom.A, infectou alvos em www.sco.com com aumento demasiado do tráfego. Acusações sem provas por parte do SCO Group, clamavam que o criador do worm era um entusiasta do Linux ou do open source, como forma de retaliação as controversas ações legais e públicas da SCO contra o Linux. Esta teoria foi imediatamente rechaçada por pesquisadores da segurança da informação. Desde então, foi rejeitada por lei a investigação do vírus, que teve sua autoria atribuída desconhecida e tendo domínio público.^[3]

A análise inicial do Mydoom sugeriu que ele é uma variação do worm Mimail, que possui o nome alternativo Mimail.R-gerando especulação que responsabiliza as mesmas pessoas pela criação de ambos os vermes. Análises posteriores foram menos conclusivas, no ato de gerar ligações entre os dois worms.

Mydoom foi batizado por Craig Schmugar, um empregado da empresa de segurança computacional McAfee, pois foi o primeiro a descobrir tal worm. Schmugar escolheu o nome após perceber a palavra "mydom" por entre as linhas do código-fonte do programa. "Era evidente que isto seria bem grande. Pensei que tendo 'doom' no nome, seria apropriado."^[4]

Detalhes técnicos[editar | editar código-fonte]

Mydoom teve como forma de infecção primária o e-mail, parecendo uma transmissão com erro, contendo as seguintes linhas "Error", "Mail Delivery System", "Test" or "Mail Transaction Failed" em diferentes linguagens, incluindo a Língua inglesa e a Língua francesa. O e-mail continha um anexo de e-mail que se executado, encaminharia o worm para todos os endereços encontrados em arquivos locais, como o catálogo de endereços. Ele também fazia uma auto-cópia para a "Pasta Compartilhada" do aplicativo de compartilhamento de arquivos P2P KaZaA, para se espalhar desta maneira.

O Mydoom também evitava a distribuição em endereços de e-mail de certas universidades como Rutgers, MIT, Stanford e UC Berkeley, assim como evitava as empresas Microsoft e Symantec. Algumas investigações posteriores, afirmavam que o worm evitava todo o domínio .edu, porém isto não vem ao caso.

A versão original Mydoom.A, foi descrita como contendo dois Payloads:

Um backdoor na porta 3127/tcp para habilitar um controle subversivo(colocando o arquivo SHIMGAPI.DLL no diretório system32 e o lançando como um processo filho do Windows Explorer, que é a mesma essência utilizada pelo worm Mimail.
Um ataque DOS contra o site do controverso SCO Group, que teve começo no dia 1 de Fevereiro de 2004. Muitos analistas duvidaram que este payload funcionaria. Testes posteriores confirmaram que funcionou em 25% de todos os computadores infectados.

Uma segunda versão, Mydoom.B, carregava os payloads originais e também tinha como alvo o site da Microsoft e bloqueava acesso HTTP ao site desta empresa e de outras empresas conhecidas, fabricantes de software antivírus, bloqueando ferramentas de remoção de vírus, bem como suas atualizações. O menor numero de cópias desta versão em circulação, fez com que os servidores da Microsoft sofressem poucos efeitos indesejados.^[5]

Referências

↑ «Segurança: MyDoom worm - ainda o mais rápido(em inglês)». CNN.com. Time Warner. 28 de janeiro de 2004
↑ Tiernan Ray (18 de fevereiro de 2004). «E-mail classificado como Spam, ressurge perigosamente(em inglês)». The Seattle Times. The Seattle Times Company
↑ Brian Grow, Jason Bush (30 de maio de 2005). «Hacker Hunters: Força obscura adentra o lado obscuro da informática(em inglês)». BusinessWeek. The McGraw-Hill Companies Inc.
↑ «Mais Doom?(em inglês)». Newsweek. Washington Post. 3 de fevereiro de 2004
↑ «Virus Mydoom começa um fiasco(em inglês)». BBC News. BBC. 4 de fevereiro de 2004

Este artigo sobre malware é um esboço. Você pode ajudar a Wikipédia expandindo-o.

[1] «Segurança: MyDoom worm - ainda o mais rápido(em inglês)». CNN.com. Time Warner. 28 de janeiro de 2004

[2] Tiernan Ray (18 de fevereiro de 2004). «E-mail classificado como Spam, ressurge perigosamente(em inglês)». The Seattle Times. The Seattle Times Company

[3] Brian Grow, Jason Bush (30 de maio de 2005). «Hacker Hunters: Força obscura adentra o lado obscuro da informática(em inglês)». BusinessWeek. The McGraw-Hill Companies Inc.

[4] «Mais Doom?(em inglês)». Newsweek. Washington Post. 3 de fevereiro de 2004

[5] «Virus Mydoom começa um fiasco(em inglês)». BBC News. BBC. 4 de fevereiro de 2004

[1]

[2]

[3]

[4]

[5]