Doombot virus

Doombot virus

Doombot je nova varjanta Mytob virusa, koja kao mamac koristi alarmantu poruku o gašenju Email servisa:

Vaš Email nalog je iskorišćen za slanje velike količine Spam poruka, pa ako imate 5-10 minuta vremena i proučite priloženu poruku – više nećete imati problema. Ako ovu poruku ignorišete ne preostaje nam ništa drugo nego da vam ukinemo članstvo …

Radi se o još jednom primeru lukavo smišljenog socijalnog inženjeringa, uobličenog u vidu tehničke poruke koja tačno objašnjava korisniku šta treba da radi, ili bolje rečeno – upravo šta ne treba da uradi. Dodatak uz poruku je ZIP arhiva u kojoj se nalazi telo virusa, prikriveno uobičajenom tehnikom dvostruke ekstenzije. U ovom slučaju je to datoteka pod imenom “important-details.htm”, koja je u stvari .scr skript.

Doombot.A i Doombot.B

Kao i sa ostalim novijim virusima, nastavlja se problem višestrukih oznaka, tako je DoomBot.A isto što i W32/Mytob-EY, W32/Mytob.MZ@mm, W32/Mytob.gen@MM, W32/Mytob.gi@MM, Worm.Mytob.GE and Worm.Mytob.IU.

Već iz ove činjenice se vidi da su neke Anti-Virus firme prepoznale delove koda Mytob virusa, dok su druge otišle korak dalje i dodelile mu novo ime. Doombot jeste varijanta Mytob virusa, ali ovoga puta izgleda iz kineske radionice, od strane hakerske grupe “Evil Security” (Zla Sigurnost) i njenog vođe “Mr.Evil-a” (g. Zlo). U slučaju Doombot.B virusa, njegova ostala imena su: W32/Mytob-GH, W32/Mytob.NA@mm i W32/Mytob.gh@MM.

I da dodamo još malo ulja na vatru, uz delovanje pomenutih DoomBot-ova u istom periodu se javlja Fanbot virus, čije su imena W32/Generic.b.worm i  Worm.Mytob.IS

Tako dolazimo do tri bitna Mytob klona, pod oznakama EY, GH i IS.

Zajednička osobina Doombot i Fanbot virusa je u tome što su svi Email crvi sa IRC Backdoor pristupom, pri čemu Fanbot dodatno koristi P2P (MS05-039) slabost za širenje. Sva tri crva kontinualno rade u pozadini, omogućavajući udaljenom napadaču pristup putem IRC kanala i pri tome onemogućavaju rad poznatijih Anti-Virus programa. 

Zaključak 

Doombot je još jedan klon Mytob-a. čiji su autori u zatvorui koji su sarađivali sa desetak ilegalnih grupa širom sveta. Zbog toga ne treba da čudi poplava Mytob klonova u vidu Doombot i Fanbot virusa.