Один из самых активных спам-червей в истории — MyDoom — все еще действует через 15 лет после первых атак. Программа, также известная как Novarg, отправляет по несколько десятков тысяч электронных писем в месяц, проводя DDoS-атаки и распространяя вредоносное ПО.

Специалисты «Лаборатории Касперского» описали MyDoom в январе 2004 года, когда за несколько часов червь проник на 300 тыс. компьютеров по всему миру. Его жертвы получают бэкдор, позволяющий преступникам проводить любые операции с зараженными машинами.

Ключевая особенность зловреда — метод автономного распространения. Попав на компьютер, червь сканирует папки в поисках сохраненных электронных адресов и рассылает себя по собранной базе. Вредоносные письма маскируются под сообщения о проблемах с доставкой электронной почты или личную переписку. Заражение происходит автоматически при открытии файла из вложения.

Зловред также использует P2P-файлообменник KaZaA. Если соответствующий публичный каталог обнаруживается на компьютере, червь добавляет себя в папку, откуда ему открывается путь к другим участникам сети.

На пике активности MyDoom рассылал до четверти всех спамерских писем в мире. Общий объем убытков, которые связывают с этим зловредом, составляет 38 млрд долларов.

В 2004 году червь вызвал сбои в работе поисковиков Google, Lycos, Yahoo и AltaVista. Вал автоматических запросов, отправленных MyDoom для сбора адресов, на несколько часов лишил пользователей доступа к ресурсам. Применение поисковых систем для создания баз рассылки стало еще одной особенностью MyDoom.

В настоящий момент основную часть атак этого зловреда организуют злоумышленники с китайскими IP-адресами. На втором месте почти с 20-кратным отставанием оказались США, за ними идет Великобритания. В первую десятку попала и Россия, занявшая седьмую позицию.

В списке самых часто встречающихся стран-адресатов верхние строчки также занимают Китай и США. Следующий за ними Тайвань отстает от второго места в 10 раз. Атаки MyDoom направлены против организаций в разных отраслях экономики, включая высокие технологии (212 тыс. писем), торговлю (85 тыс.), здравоохранение (49 тыс.), образование (38 тыс.) и промышленность (32 тыс.).

Исследователи отмечают, что операторы червя пытаются избежать обнаружения, активно меняя хеши вредоносных файлов. Как следствие, хотя письма MyDoom занимают всего 1% в общем потоке нежелательных сообщений, доля связанных с ним дистрибутивов в 2019 году превысила 30%. Эти показатели практически не меняются на протяжении последних нескольких лет.

По мнению экспертов, угроза MyDoom еще долго будет актуальной. Причина тому — эффективная модель распространения, которая позволяет червю быстро охватывать значительное число жертв. Немалую роль играют и технологические находки авторов — использование поисковиков и генерация маскировочных хешей, распознавание измененных электронных адресов на интернет-страницах. В результате ключевую роль в борьбе с MyDoom должны играть сами пользователи, которым следует остерегаться сообщений с подозрительными вложениями.

В конце прошлого года свою вину в суде признал оператор Kelihos — другого спам-зловреда с продолжительной историей. По данным следствия, с конца 90-х по март 2017 года злоумышленник проводил масштабные кампании по краже персональных данных и распространению вредоносного ПО.

Категории: Вредоносные программы, Спам