MyDoom.F стирает с зараженной машины некоторые файлы и оставляет "черный ход", позволяющий автору вируса управлять компьютером удаленно. По мнению экспертов, создатель MyDoom.А и других ранних версий вируса не имеет отношения к созданию MyDoom.F. В кодах первых версий содержалось послание от или к "Энди"; в коде MyDoom.F найдена строка "I am 'Irony,' made by jxq7==-". Предположительно автор MyDoom.F использовал исходный код MyDoom.А, распространявшийся вместе с вирусом Doomjuice. За четверо суток, прошедших с появления MyDoom.F, набралось достаточно зараженных компьютеров, чтобы объявить вирус "средней" угрозой.

Компьютеры, зараженные MyDoom.F пытаются начать атаку отказа от обслуживания (DoS-атаку) на серверы корпорации Microsoft и Ассоциации американских студий звукозаписи (RIAA). Вирус MyDoom.А подключал зараженные машины к атаке на сервер SCO Group, а последующие версии - к атаке на SCO Group и/или Microsoft.

MyDoom.F рассылается в письмах с заголовками (помимо прочих) "Approved", "Your Credit Card", "Expired Account", "You use illegal File Sharing... Your IP was logged" или "Stolen", с текстом письма, например, "Kill the writer of this document", "I have your password", "Please see the attached file for details" или "You are a bad writer" и чаще всего в файле .zip. После запуска вирус пытается разослать себя по адресам из адресной книги, сканирует жесткие диски и стирает случайный набор аудио- и видеофайлов, изображений и документов MS Word и MS Excel. После 32-секундной паузы вирус повторяет весь цикл заново. В отличие от предыдущих версий, MyDoom.F не имеет точной даты прекращения действия. В период между 17 и 22 числом любого месяца он запрограммирован запустить DoS-атаку на серверы riaa.com или www.microsoft.com. По мнению специалистов, поскольку вирус не успел особо распространиться, серверу Microsoft ничего серьезного не грозит, однако сервер RIAA и без того неустойчив и отключится при малейшей попытке его атаковать.

Wired News

версия для печати