มายดูม
ตัวอย่างไฟล์ที่สร้างขึ้นแบบสุ่มซึ่งเปิดโดย Mydoom หลังจากดำเนินการเสร็จสิ้น
รายละเอียดมัลแวร์
พิมพ์	เวิร์มคอมพิวเตอร์
รายละเอียดทางเทคนิค
แพลตฟอร์ม	วินโดวส์ 2000 , วินโดวส์ XP
เขียนเป็น	ซี++
เลิกผลิตแล้ว	12 กุมภาพันธ์ 2547 (Mydoom.A) 1 มีนาคม 2547 (Mydoom.B)

Mydoomเป็นเวิร์มคอมพิวเตอร์ที่มุ่งเป้าไปที่คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการMicrosoft Windowsพบเห็นครั้งแรกเมื่อวันที่ 26 มกราคม พ.ศ. 2547 กลายเป็นเวิร์มอีเมลที่แพร่กระจายเร็วที่สุดเท่าที่เคยมีมา แซงหน้าสถิติเดิมที่ตั้งไว้โดยเวิร์ม SobigและILOVEYOUซึ่งจนถึงปี พ.ศ. 2569 ก็ยังไม่มีใครทำลายสถิตินี้ได้^{[ 1 ]}

ดูเหมือนว่า Mydoom จะได้รับการว่าจ้างจาก ผู้ส่งสแปมอีเมลเพื่อส่งอีเมลขยะผ่านคอมพิวเตอร์ที่ติดเชื้อหรือ "ซอมบี้" ^{[ 2 ]}เวิร์มนี้มีข้อความว่า"แอนดี้ ฉันแค่ทำหน้าที่ของฉัน ไม่มีอะไรส่วนตัว ขอโทษด้วย"ทำให้หลายคนเชื่อว่าผู้สร้างเวิร์มได้รับค่าจ้าง ในช่วงแรก บริษัทรักษาความปลอดภัยหลายแห่งแสดงความเชื่อว่าเวิร์มนี้มีต้นกำเนิดมาจากโปรแกรมเมอร์ในรัสเซีย ผู้เขียนเวิร์มตัวจริงยังไม่เป็นที่รู้จัก

เวิร์มปรากฏเป็นอีเมลที่ส่งไม่ดี และคนส่วนใหญ่ที่ได้รับอีเมลเวิร์มในตอนแรกก็เพิกเฉย คิดว่าเป็นสแปม อย่างไรก็ตาม ในที่สุดมันก็แพร่กระจายไปติดเชื้อคอมพิวเตอร์อย่างน้อยห้าแสนเครื่องทั่วโลก^{[ 3 ]}

การรายงานข่าวเบื้องต้นคาดการณ์ว่า จุดประสงค์เดียวของเวิร์มนี้คือการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (Distributed Denial of Service: DDoS)ต่อSCO Groupโดย 25 เปอร์เซ็นต์ของโฮสต์ที่ติด Mydoom.A มุ่งเป้าไป ที่ SCO Groupด้วยการส่งปริมาณการรับส่งข้อมูลจำนวนมหาศาล สื่อสิ่งพิมพ์ด้านการค้าคาดการณ์ โดยได้รับแรงหนุนจากคำกล่าวอ้างของ SCO Group เอง ว่านี่หมายความว่าเวิร์มนี้ถูกสร้างขึ้นโดย ผู้สนับสนุน Linuxหรือโอเพนซอร์ส เพื่อเป็นการแก้แค้นต่อ การดำเนินการทางกฎหมาย และคำแถลงการณ์สาธารณะ ที่เป็นที่ถกเถียงของ SCO Group ต่อ Linux ทฤษฎีนี้ถูกปฏิเสธทันทีโดยนักวิจัยด้านความปลอดภัย นับตั้งแต่นั้นมา ทฤษฎีนี้ก็ถูกปฏิเสธโดยเจ้าหน้าที่บังคับใช้กฎหมายที่สืบสวนไวรัสนี้เช่นกัน โดยพวกเขาเชื่อว่าเป็นการกระทำของแก๊งอาชญากรรมออนไลน์ที่จัดตั้งขึ้น

Mydoom ได้รับการตั้งชื่อโดย Craig Schmugar พนักงานของบริษัทรักษาความปลอดภัยคอมพิวเตอร์McAfeeและเป็นหนึ่งในผู้ค้นพบเวิร์มรุ่นแรกๆ Schmugar เลือกชื่อนี้หลังจากสังเกตเห็นข้อความ "mydom" ภายในบรรทัดหนึ่งของโค้ดโปรแกรม เขาตั้งข้อสังเกตว่า "เห็นได้ชัดตั้งแต่แรกว่านี่จะเป็นเรื่องใหญ่มาก ผมคิดว่าการมีคำว่า 'doom' อยู่ในชื่อจะเหมาะสม" ^{[ 4 ]}

ไวรัส Mydoom แพร่กระจายหลักๆ ผ่านทางอีเมลโดยจะปรากฏเป็นข้อความแสดงข้อผิดพลาดในการส่ง พร้อมหัวข้ออีเมลที่มีข้อความต่างๆ เช่น "ข้อผิดพลาด", "ระบบส่งอีเมล", "ทดสอบ" หรือ "การทำธุรกรรมอีเมลล้มเหลว" ในหลายภาษา รวมถึงภาษาอังกฤษและภาษาฝรั่งเศส อีเมลดังกล่าวมีไฟล์แนบซึ่งหากเปิดดูจะส่งไวรัสไปยังที่อยู่อีเมลที่พบในไฟล์ต่างๆ ในเครื่อง เช่น สมุดที่อยู่ของผู้ใช้ นอกจากนี้ยังคัดลอกตัวเองไปยัง "โฟลเดอร์ที่แชร์" ของแอปพลิเคชันแชร์ไฟล์แบบ Peer-to-Peer อย่าง Kazaaเพื่อพยายามแพร่กระจายผ่านช่องทางนั้นด้วย

ไวรัส Mydoom หลีกเลี่ยงการโจมตีที่อยู่อีเมลของมหาวิทยาลัยบางแห่ง เช่นRutgers , MIT , StanfordและUC Berkeleyรวมถึงบริษัทบางแห่ง เช่นMicrosoftและSymantecรายงานเบื้องต้นบางฉบับอ้างว่าไวรัสนี้หลีกเลี่ยง ที่อยู่อีเมล .edu ทั้งหมด แต่ความจริงแล้วไม่ใช่เช่นนั้น

เวอร์ชันดั้งเดิมMydoom.Aถูกอธิบายว่ามีเพย์โหลด สองตัว :

• ช่องโหว่บนพอร์ต 3127/tcp ที่อนุญาตให้ควบคุมพีซีที่ถูกบุกรุกจากระยะไกล (โดยการวางไฟล์ SHIMGAPI.DLL ของตัวเองไว้ในไดเร็กทอรี system32 และเรียกใช้เป็นกระบวนการย่อยของWindows Explorer ) ซึ่งโดยพื้นฐานแล้วเป็นช่องโหว่เดียวกันกับ ที่Mimailใช้
• การโจมตีแบบปฏิเสธการให้บริการต่อเว็บไซต์ของบริษัทSCO Group ที่เป็นที่ถกเถียงกันโดยกำหนดเวลาให้เริ่มในวันที่ 1 กุมภาพันธ์ พ.ศ. 2547 นักวิเคราะห์ไวรัสหลายคนสงสัยว่าเพย์โหลดนี้จะทำงานได้จริงหรือไม่ การทดสอบในภายหลังแสดงให้เห็นว่ามันทำงานได้ในระบบที่ติดเชื้อเพียง 25% เท่านั้น^{[ 5 ]}

เวอร์ชันที่สองMydoom.Bนอกจากจะมีเพย์โหลดเดิมแล้ว ยังมุ่งเป้าไปที่เว็บไซต์ของ Microsoft และปิดกั้นการเข้าถึงเว็บไซต์ของ Microsoft และเว็บไซต์ป้องกันไวรัส ยอดนิยมทางออนไลน์โดยการแก้ไข ไฟล์ hostsทำให้ปิดกั้นเครื่องมือลบไวรัสหรือการอัปเดตซอฟต์แวร์ป้องกันไวรัส จำนวนสำเนาของเวอร์ชันนี้ที่หมุนเวียนอยู่มีน้อยกว่า หมายความว่าเซิร์ฟเวอร์ของ Microsoft ได้รับผลกระทบเพียงเล็กน้อย^{[ 6 ] [ 7 ]}

• 26 มกราคม 2547:ไวรัส Mydoom ถูกค้นพบครั้งแรกประมาณ 8 โมงเช้าตามเวลา EST (13.00 UTC) ก่อนเริ่มงานในอเมริกาเหนือ ข้อความแรกๆ มาจากรัสเซีย ในช่วงเวลาไม่กี่ชั่วโมงกลางวัน การแพร่กระจายอย่างรวดเร็วของเวิร์มนี้ทำให้ประสิทธิภาพโดยรวมของอินเทอร์เน็ตช้าลงประมาณร้อยละ 10 และ เวลาในการโหลด หน้าเว็บโดยเฉลี่ยช้าลงประมาณร้อยละ 50 บริษัทรักษาความปลอดภัยคอมพิวเตอร์รายงานว่า Mydoom เป็นสาเหตุของข้อความอีเมลประมาณหนึ่งในสิบในเวลานั้น

แม้ว่าการโจมตีแบบปฏิเสธการให้บริการ (DoS) ของ Mydoom จะมีกำหนดเริ่มต้นในวันที่ 1 กุมภาพันธ์ 2547 แต่ เว็บไซต์ของ SCO Groupก็ล่มไปชั่วขณะในชั่วโมงหลังจากที่เวิร์มถูกปล่อยออกมาครั้งแรก ยังไม่ชัดเจนว่า Mydoom เป็นผู้รับผิดชอบเรื่องนี้หรือไม่ SCO Group อ้างว่าตนตกเป็นเป้าหมายของ การโจมตี แบบปฏิเสธการให้บริการแบบกระจาย หลายครั้ง ในปี 2546 ซึ่งไม่เกี่ยวข้องกับไวรัสคอมพิวเตอร์

• 27 มกราคม 2547: กลุ่มบริษัท SCOเสนอเงินรางวัล 250,000 ดอลลาร์สหรัฐ สำหรับข้อมูลที่นำไปสู่การจับกุมผู้สร้างไวรัสคอมพิวเตอร์ดังกล่าว ในสหรัฐอเมริกาFBIและหน่วยสืบราชการลับเริ่มทำการสืบสวนเกี่ยวกับไวรัสคอมพิวเตอร์นี้
• 28 มกราคม 2547:มีการค้นพบเวิร์มเวอร์ชันที่สองสองวันหลังจากการโจมตีครั้งแรก ข้อความแรกที่ส่งโดย Mydoom.B ถูกระบุว่าส่งมาประมาณ 14.00 UTC และดูเหมือนว่าจะมาจากรัสเซียเช่นกัน เวอร์ชันใหม่นี้รวมถึงการโจมตีแบบปฏิเสธการให้บริการ (Denial of Service) ต่อ SCO Group และการโจมตีที่เหมือนกันซึ่งมุ่งเป้าไปที่ Microsoft.com เริ่มต้นในวันที่ 3 กุมภาพันธ์ 2547 อย่างไรก็ตาม การโจมตีทั้งสองครั้งนั้นคาดว่าอาจเป็นโค้ดลวงที่ล้มเหลวหรือไม่ทำงาน เพื่อปกปิด ฟังก์ชัน แบ็กดอร์ของ Mydoom นอกจากนี้ Mydoom.B ยังปิดกั้นการเข้าถึงเว็บไซต์ของบริษัทรักษาความปลอดภัยคอมพิวเตอร์กว่า 60 แห่ง รวมถึงโฆษณาป๊อปอัพที่ให้บริการโดยDoubleClickและบริษัทการตลาดออนไลน์อื่นๆ ด้วย

การแพร่ระบาดของ Mydoom เพิ่มสูงขึ้น บริษัทรักษาความปลอดภัยทางคอมพิวเตอร์รายงานว่า ปัจจุบัน Mydoom เป็นต้นเหตุของอีเมลประมาณหนึ่งในห้าฉบับ

• 29 มกราคม 2547:การแพร่กระจายของ Mydoom เริ่มลดลง เนื่องจากข้อบกพร่องในโค้ดของ Mydoom.B ทำให้มันแพร่กระจายได้ไม่รวดเร็วเท่าที่คาดการณ์ไว้ในตอนแรก ไมโครซอฟต์เสนอเงินรางวัล 250,000 ดอลลาร์สหรัฐ สำหรับข้อมูลที่นำไปสู่การจับกุมผู้สร้าง Mydoom.B
• 1 กุมภาพันธ์ 2547:มีการคาดการณ์ว่าคอมพิวเตอร์ประมาณหนึ่งล้านเครื่องทั่วโลกที่ติดไวรัส Mydoom เริ่มทำการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) ครั้งใหญ่ ซึ่งเป็นการโจมตีครั้งใหญ่ที่สุดเท่าที่เคยเกิดขึ้น เมื่อวันที่ 1 กุมภาพันธ์มาถึงในเอเชียตะวันออกและออสเตรเลีย SCO ได้ลบ www.sco.com ออกจากDNSในเวลาประมาณ 17:00 UTCของวันที่ 31 มกราคม (จนถึงขณะนี้ยังไม่มีการยืนยันอย่างเป็นอิสระว่า www.sco.com ได้รับผลกระทบจากการโจมตี DDOS ตามแผนจริงหรือไม่)
• 3 กุมภาพันธ์ 2547:การโจมตีแบบปฏิเสธการให้บริการแบบกระจายของ Mydoom.B ต่อ Microsoft เริ่มต้นขึ้น ซึ่ง Microsoft ได้เตรียมการรับมือโดยการเสนอเว็บไซต์ที่ไม่ได้รับผลกระทบจากเวิร์ม คือ information.microsoft.com ^{[ 8 ]}อย่างไรก็ตาม ผลกระทบของการโจมตียังคงมีน้อยมาก และwww.microsoft.comยังคงใช้งานได้ นี่เป็นผลมาจากการแพร่กระจายของ Mydoom.B ในระดับต่ำ ความสามารถในการรองรับภาระงานสูงของเว็บเซิร์ฟเวอร์ของ Microsoft และมาตรการป้องกันที่บริษัทได้ดำเนินการ ผู้เชี่ยวชาญบางคนชี้ให้เห็นว่าภาระดังกล่าวมีน้อยกว่าการอัปเดตซอฟต์แวร์ของ Microsoft และบริการบนเว็บอื่นๆ ที่คล้ายกัน
• 9 กุมภาพันธ์ 2547: Doomjuice ซึ่งเป็นเวิร์มแบบ “ปรสิต” เริ่มแพร่กระจาย เวิร์มนี้ใช้แบ็กดอร์ที่ Mydoom ทิ้งไว้เพื่อแพร่กระจาย มันไม่ได้โจมตีคอมพิวเตอร์ที่ไม่ติดไวรัส เพย์โหลดของมันคล้ายกับของ Mydoom.B ตัวหนึ่ง ซึ่งเป็นการโจมตีแบบปฏิเสธการให้บริการต่อ Microsoft ^{[ 9 ]}
• 12 กุมภาพันธ์ 2547: Mydoom.A ถูกตั้งโปรแกรมให้หยุดการแพร่กระจาย อย่างไรก็ตาม ช่องโหว่ยังคงเปิดอยู่หลังจากวันที่นี้
• 1 มีนาคม 2547: Mydoom.B ถูกตั้งโปรแกรมให้หยุดการแพร่กระจาย แต่เช่นเดียวกับ Mydoom.A ช่องโหว่ยังคงเปิดอยู่
• 26 กรกฎาคม 2547:มัลแวร์ Mydoom เวอร์ชันหนึ่งโจมตีGoogle , AltaVistaและLycosทำให้เครื่องมือค้นหา Google ที่ได้รับความนิยมหยุดชะงักโดยสิ้นเชิงเป็นส่วนใหญ่ของวันทำงาน และทำให้เครื่องมือค้นหา AltaVista และ Lycos ทำงานช้าลงอย่างเห็นได้ชัดเป็นเวลาหลายชั่วโมง
• 23 กันยายน 2547: Mydoom เวอร์ชัน U, V, W และ X ปรากฏขึ้น ทำให้เกิดความกังวลว่ากำลังมีการเตรียมสร้าง Mydoom เวอร์ชันใหม่ที่ทรงพลังกว่าเดิม
• 18 กุมภาพันธ์ 2548: Mydoom เวอร์ชัน AO ปรากฏขึ้น
• กรกฎาคม 2552: Mydoom กลับมาปรากฏตัวอีกครั้งในการโจมตีทางไซเบอร์ในเดือนกรกฎาคม 2552ซึ่งส่งผลกระทบต่อเกาหลีใต้และสหรัฐอเมริกา^{[ 10 ]}

• ลำดับเหตุการณ์ของไวรัสคอมพิวเตอร์และเวิร์ม

• MyDoom และการโจมตี DDoS
• "Email-Worm.Win32.Mydoom.a" . Viruslist.com . Kaspersky Lab. เก็บถาวรจากต้นฉบับเมื่อ 2006-10-15
• สำนักงานความมั่นคงแห่งสหรัฐอเมริกา (SCO) ประกาศมอบรางวัลสำหรับการจับกุมและลงโทษผู้สร้างไวรัส Mydoom - ข่าวประชาสัมพันธ์ของ SCO วันที่ 27 มกราคม 2547 โปรดสังเกตว่ามีการอ้างว่าการโจมตีแบบปฏิเสธการให้บริการได้เริ่มต้นขึ้นแล้วในวันดังกล่าว
• " Mydoom " หน้าข้อมูลเกี่ยวกับไวรัสคอมพิวเตอร์จาก F-Secureบริษัท F-Secure Corporation
• "Win32.Mydoom.A" . ที่ปรึกษาด้านความปลอดภัย . Computer Associates International. เก็บถาวรจากต้นฉบับเมื่อ 2005-04-10 . เรียกดูเมื่อ2005-04-30 .
• ข้อมูลเกี่ยวกับเวิร์ม Mydoom จาก Symantec.com
• "ไวรัสคอมพิวเตอร์ที่สร้างความเสียหายมูลค่า 50 พันล้านดอลลาร์"ช่อง YouTube ของ InfoGraphics Show