Историческая вирусология: или 40 миллиардов долларов за 18 лет - MyDoom: хронология, история, анализ
Ммм.. Приветствую, уж очень понравилось мне писать исторические сводки о различных вирусах из прошлого, идея у меня была уже о-о-очень давно в заготовке. Однажды я даже попытался что-то соорудить по этой тематике, но вышло так себе и ваши глаза, к счастью, не увидели этого кошмара. Буквально вчера, после длительного творческого перерыва, было создано вот это. Да, если не забуду, то ссылочку оставлю.
Ещё неведомо мне как вы восприняли новый формат, но что-то лайтовое, без особых нагрузок и терминологии — как раз, для того чтобы расслабиться. Как сказал бы один мой знакомый… Ай, нет, не буду нагружать вас сленгами современными, сам до конца не понимаю ничего в них.
Итак, к делу. Попытаемся в похожем формате рассмотреть один из самых, наверное, дорогостоящих для мировой экономики вирусов. А давайте интригу потяну, начнем из сюжетной предыстории, а там уже и поймете. Скажу лишь, что этот зловред в два раза переплюнул убытки от LoveLetter.
А, точно, где-то здесь появится наш классический дисклеймер, который уже два года следует по одному с моими статьями пути, где же он? Как насчет фокуса? Я заставлю дисклеймер появиться. Та-да-ам. Он.. Появился. ( отсылка к одному фильму, если поняли, отпишитесь):
Дисклеймер
На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект — это знания.
Стартуем: немного сюжета, хронология
Пи-Пи-Пи. Ничем не примечательное утро, 23 января 2004 года. Наш герой, даже не открыв глаза, вступает в кулачный поединок с будильником, который, словно в каком-то Голливудском фильме, производит пронзительное звучание, разрывающее уши.
С закрытыми глазами, победив утреннего звукового монстра, Ли встает с кровати. В окне открываются живописные утренние виды Тайваня, но наш герой не видит этого, ведь пора на работу.
Этот персонаж находит забавным работу биолога, пусть и зарплата не очень, но все таки, лишь если заниматься тем, что тебе по душе, можно достичь прогресса — так считает Ли.
Странные ощущения в теле, ломота и головная боль… Наверное, на работу путь закрыт. Он даже не мог себе представить, что эта болезнь спасет ему жизнь. Ведь через 4 часа в центре Тайваня произойдёт взрыв кита, перевозимого его компанией на исследования.
Этот же день, то же самое утро. Хасад едет на джипе по улицам Ирака, его транспорт набит взрывчаткой, ещё момент… Пустота, лишь темная темень и ничего вокруг. Этим же утром какой-то старец из Румынии, предвещает свою кончину под снежными завалами, ведь его дом уже полностью погряз в снегу.
В этот день произошло много чего, некоторые события навсегда вошли в историю, но нас ведь это все не интересует. Так ведь? Да, мы собрались здесь не обсуждать взрывы китов, болезни и аномальные снегопады, в этот день произошло ещё кое-что, что повлекло за собой убытки в 40 млрд. долларов.
Оставшись один на один с болезнью, Ли Шень Шунь ( о да, ещё одна отсылка), решает проверить свою электронную почту.
Он сразу замечает несколько новых писем с заглавием “Read me” или же “message.txt”. Он решает, что это прислал ему кто-то с работы, поэтому без особых раздумий он открывает текстовый файл и… Там какая-то белиберда. Покачав головой, Ли продолжает просмотр почты. Казалось бы, ничего особого не происходит, но в то же время в папку system32 копируется какие-то странные .dll’чики, заменяется процесс taskmod.exe, а затем появляется это… "Интернат.ехе". И он тоже сразу же запускается.
Стоп-стоп, что же это значит? Теперь наш биолог поедет в интернат? М-м-м, нет. ( Кстати забыл уточнить, у Ли Виндовс 2000, а интернат.ехе намекает нам о том из какой страны это выходец).
А что же такого открыл наш Ли?
Этот вопрос рассмотрим чуточку позже, уточнив реалии ведь уверен в этом, не все помнят это время, будем честны, единственное о чем тогда думал автор, так это о палке и крапиве, а также о птичьем гриппе. Зачем о последнем?
Прошло четыре года после эпидемии LoveLetter, о котором шла речь в прошлой статье. Думаете люди поумнели? Ммм, нет. В большинстве своем все так и осталось, даже больше скажу, по прошествию четырех лет, компьютеров стало больше, намно-о-ого больше. В этом времени о понятии “информационная безопасность” или “фишинг” вряд-ли ещё слышал какой-то Ли с Тайваня.
А если и слышал, то очень посредственно и вряд-ли встречался лично.
И так, что же происходит дальше? Пока Ли спокойно смотрит почту, в это же самое время интернат.ехе создает лазейку для бэкдора, открывая TCP порты от 3127 до 3198, теперь уже Интернат способен принимать удаленные команды и выполнять их на машине Ли.
Ну типичный Реверс ТСП в реалиях 2004 года.
А теперь возвращаемся к тому самому вопросу: что же это такое?
Рад приветствовать в компании описываемых мной вирусов появилась настоящая легенда - MyDoom. По классификации это червь, который заражал все устройства, на которых был открыт файл из письма, а затем он производил DDOS серверов компании SCO, но в итоге пострадал даже Майкрософт.
Почему, зачем и для чего? Какова была истинная цель?
Навредить вот этому SCO было приоритетом для создателя вируса, хотя как по мне, не создателя, а создателей, ибо он модернизировался, дописывался и изменялся явно не одним человеком, потому что именно эта компания заявила, что имеет авторские права на код операционной системы Linux.
К каким последствиям могло привести подтверждение авторских прав на Линукс? Сложно представить, скорее всего вплоть к фундаментальному изменению принципов работы и дальнейшей разработки. Может быть, в таком виде и количестве модификаций, как есть сейчас, Линь мы бы не узрели никогда.
Ну и как вы могли понять, MyDoom проводил массированные атаки на сервера компании, не буду томить и скажу, что те умерли сразу же. И это продолжалось в период с 1.02 по 12.02 того же года.
Цитируем легендарного дотера и стримера, который сделал мне настроение в 2015 году, избивая офисное кресло: “ДУДОСЕЕРЫ С*ка”.
Слабонервным не смотреть:
Это я сказал к тому, что реакция руководящего состава компании SCO была примерно такой же. И они объявили награду в 250.000$ за поимку автора червя.
Итак, теперь немного хронологических сводок, как же это происходило.
На следующий день, компании-производители антивирусного программного обеспечения начинают сообщать о появлении нового вида червя, который стремительно распространяется через почту.
И проблема сама была даже не в том, что вирус есть, не в том ,что он распространяется. Загвоздка была как раз в отсутствии нормальной защиты на большинстве машин того времени.
Если тот же Пентагон или Майкрософт уже не было так сильно подвержены заражению, как в двухтысячном, то тот самый Педро и его учитель информатики - прямые жертвы.
И главное, что хотелось бы отметить: этот вредонос, скорее всего имел цель первым делом заразить крупные web-сервера. Наступает вторник, в подтверждение сказанного мной ранее, администрация крупных хостов делает заявление, что на их почтовые адреса поступает до восьми тысяч зараженных писем в час.
Вследствие этого к концу дня по всему миру было заражено больше 60.000 крупных серверов, в этот момент становится известно о существовании некого таймера внутри зловреда, по истечении времени которого будет запущена атака на сервера компании SCO.
Идем дальше по хронологии распространения вируса. Вечер вторника.
Около 15% всех писем, отправляемых по всему миру представляют собой рассылку MyDoom.
В этот же момент крупные компании-производители антивирусного ПО выпускают патчи для своих программ, которые уничтожают вирус на зараженных машинах и препятствуют его распространению, поэтому первая версия червя, имевшая название I.Worm.MyDoom.A стала менее эффективной.
Думаете на этом все закончилось? Ха-ха, нет конечно. К концу дня в сети появляется новая версия, которая уже блокирует обновления антивирусов и автоматически заменяет первую версию на инфицированных машинах с доступом к сети. Эта версия примечательна ещё тем, что впервые в ней был указан путь атаки не только СКО, но и главный сайт Майкрософт.
29 января, четверг. Каждое третье письмо отправленное электронными почтовыми сервисами заражено.
30 января, пятница, вечер. Удается стабилизировать распространение вируса через почтовые сервисы путем временного их отключения. Но это уже не имеет особого значения, так как количество инфицированных тачек остается колоссальным. Затем I-Worm.MyDoom.B мутирует, не сам по себе естественно, в I-Worm.MyDoom.C, который начинает свое распространения путем ARC каналов, а также по локальной сети.
31 января. Суббота. Все крупные сервера отключаются на выходные, что ещё немного сдерживает распространение. Хотя вечером на многие зараженные машины был открыт доступ через интернат.ехе. Очень многие пользователи начинают массово жаловаться на потерю личных данных из их жестких дисков, ещё что примечательно в то время появились первые известные интернет-вымогатели.
Затем некие исследователи публикуют информацию, что вирус станет неактивным после 12 февраля. Обнадеживает? М-м-м, нет, ибо в итоге это не подтвердилось на практике и он продолжил свою деятельность и после указанного срока.
1 февраля 00:00, время атаки на сервера SCO.
На этот момент крупные веб-сервера были отключены, но сути не изменило особо и СКО, как и Майкрософт умирают сразу.
Вот вы только представьте себе, 2004 год на дворе, и более чем два с половиной миллиона атакующих машин, которые отправляют в среднем по 30.000 пакетов каждую секунду. Ну трафик сами можете посчитать, на то время это просто невообразимые цифры.
2 февраля, понедельник. Ровно неделя с появления MyDoom в сети.
Число атак идет на спад и распространение замедляется, но это не избавляет от факта, что сервер SCO лежит. Майкрософт кое-как возобновляет работу, создав зеркало для клиентов.
Практически все производители антивирусного ПО выпускают программку для поиска и дезактивации червя. В это же время крупные сервера закончили очистку от червя и возобновляют работу.
3 февраля, вторник.
Эпидемия Mydoom идет на спад и распространение вируса практически остановлено. Заражено лишь каждое двадцатое письмо. Вечером этого же дня выпускаются крупные дополнения, которые способны обнаружить и ликвидировать любую версию MyDoom. Загвоздка лишь в том, что инициативу разработчика подхватили многие, кто был солидарен с их мнением и число неофициальных вредоносов на базе этого червя начало стремительно расти.
После была опубликована некая статистика по ущербу, которая насчитывала около двух-трех миллиардов долларов. Да, за всего-то неделю.
Затишье, вроде как все уже начало налаживаться и удалось усмирить дерзкого вредителя, но не все так просто.
10 февраля. В сети появляется новая версия вируса - Worm-Win32.Doom.Juice. A, которая оказалась гораздо умнее предшественников и продолжает свою работу.
И теперь отойдем немного от хронологии и возвратимся к нашему Ли, которому не посчастливилось открыть самую первую версию вируса у себя на машине.
Мы уже разобрались с тем, что сперва вредонос копирует себя в системные папки, делает копии и подгружает бэкдор, но кое-что он позаимствовал в нашего прошлого героя статьи - ЛавЛеттер, правда немного усовершенствовав.
Рассылка и распространение происходит уже не по адресной книге и не только через почтовый сервис OutLook, но и через почту от Яхуууу, или как там его читать, и аналоги. Ещё небольшой нюанс в том, что вирус сам генерирует почтовые адреса, а не копирует откуда-то.
В те времена понятия спама уже существовало и действовали целые организации, занимающиеся рассылкой всякого бреда, моё предположение в том, что один из создателей явно был замешан раньше в таком теневом бизнесе, ибо алгоритм генерации уж очень интересный, его мы разберем чуточку позже во время тестов на практике.
Кстати в последней, упомянутой мной, версии имелось ещё и что-то типа скрипта для рассылки спама, который подгружался из прокси сервера.
12 февраля, как оказалось основная часть вируса действительно прекратила свою деятельность, но вот TCP лазейка с бэкдором осталась.
Распространение угасло, на совсем? А уж нет.
24 июля, тот же самый год. Зараженными по всему миру остались около миллиона машин. И в этот же день происходит массовая атака на сервера Google отчего те прекращают свою работу до следующего дня.
До конца года появилось множе-е-ество версий MyDoom, видимо все больше людей становились заинтересованными в его разработке и усовершенствовании, но особого успеха сыскать не удалось.
Уже в 2005 году появляется версия MyDoom.AO, которая вроде как начинала неплохо, но её очень быстро локализовали и свели на нет.
И теперь временной скачек в будущее. Лично мне кажется очень странным то, что вирус продолжает свою деятельность на протяжении такого длительного периода времени. Взять тот же АйЛавЮ, который около годика бушевал и все. Кстати даже сейчас MyDoom продолжает свою работу.
Итак, 2009 год. Наш зловред атакует правительственные сайты США. Многие сошлись во мнении, что эта акция была спланирована Северной Кореей.
В этой операции участвовал непосредственно вирус с названием Trojan.Dozer, который был переделкой нашего главного героя Doom’a.
Ну и на этом хронологию закончим. Да.
18 лет этот вирус существует и он не просто есть, как тот же ЛавЛеттер, он до сих пор активен. Вот здесь где-то оставлю скрин-сводку об активности вируса в последнее десятилетие. За эти годы, MyDoom нанес примерно 40 млрд. долларов ущерба мировой экономике. Просто представьте насколько это огромная сумма.
Несколько людей, до сих пор неизвестных, не просто распространили вредонос, они смогли остановить работу крупных компаний, помешать развитию и нанесли такие убытки.
Здесь нет глупых отговорок, как в истории с де Гузманом, нет, они не были раскрыты и до сих пор живы где-то в тени. Если Анель пытался как-то врать, скрываться, то этих ребят даже удалось обнаружить. Браво. Не сказать, что я восхищаюсь их деяниями, но они действительно круты.
Кстати, вот небольшая ремарочка - на пике активности вирус создавал около 20% мирового трафика, а 25-30% всех писем в мире были заражены им.
Время практики: Виндоус 2000 Ли Шень Шунь и MyDoom версии A
Сперва хотелось бы отметить, что этого вредоноса называют полностью автономным, он волен распространяться покуда люди будут открывать зараженные файлы у себя на машине. То есть да. На практике мы разберем одну из самых первых версий, но в тех, что поновее появляется новый прикол.
Он будет пытаться соединиться с определенным айпи адресом через TCP порт 1042.
Сперва он создает свою копию в каталоге temp, как исполняемый файл под названием lsass.exe:
Код:
appdata/local/tempЗатем он изменяет привилегии через реестр с ключем TrayBar по следующему пути:
Код:
Software/Microsoft/CurrentVersion/RunПеред простым тестом хотелось бы ещё и провести анализ, поэтому давайте перейдем в Кали, а потом уже вернемся к Ли.
Для начала нужно было достать сам образец вируса, это было.. Не сказал бы, что сложно, но вот здесь ссылочка и бесплатный API ключ для скачивания:
Код:
b4c40a5aaebc750b6dd38594858b97f330615caab82d63b84fe8c6eaf6b3aeb0Итак, у нас есть некий codeby.exe, давайте запустим проверку и посмотрим каким методом он упакован:
Код:
file codeby.exeОтвет следующий:
Код:
codeby.exe: PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressedВыходит, что он у нас упакован UPX методом, в целом, мы можем его распаковать и глянуть, что внутри:
Код:
upx -d codeby.exeТеперь переходим в любой декомпилятор и поговорим о импортах.
Увидев это, можно прийти к выводу, что он редактирует и создает новые ключи в реестре:
Код:
RegSetValueExA и RegCreateKeyExAИ ещё можно заприметить индикаторы сетевых подключений и времени, смотрите сами, их здесь много:
Так же он создает мьютекс - это типа что-то изоляции от других процессов, используя CreateMutexА, затем создает процесс с помощью CreateProcessA и начинает рыться в файловой системе с помощью FindNextFileA и FindFirstFileA.
В примере используется функция at 0x4A465E, она принимает адрес и зашифрованную строку. Поскольку так часто его видим, это скорее всего дешифратор.
Алгоритм расшифровки довольно прост, на самом деле это rot13. Поэтому можно достаточно легко расшифровать их с помощью IDAPython. Выглядеть будет это следующим образом:
Python:
from idc import *
from idautils import *
import codecs
def get_function_arg(addr):
while True:
addr = PrevHead(addr) #addr of the first push
addr= prev_head(addr) #addr of the second push
if GetMnem(addr) == "push":
break
offset = GetOperandValue(addr, 0)
if offset=='esi' :
addr = prev_head(addr) #get the push right before strlen function call
offset = GetOperandValue(addr, 0)
if is_loaded(offset): # offset is a valid offset
size = get_item_size(offset)
encrypted_str = get_bytes(offset, size)
else: encrypted_str = offset
return encrypted_str # string @ offset
decryption_function= 0x4A465E
xrefs = CodeRefsTo(decryption_function, 0)
for fun_call in xrefs:
enc_str = get_function_arg(fun_call)
dec_str = codecs.decode(enc_str,'rot13') if type(enc_str)==str else enc_str
set_cmt(fun_call , str(dec_str), 0)После запуска нашего вируса он пытается открыть:
Код:
Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\VersionЭто подраздел корневого ключа HKEY_LOCAL_MACHINE (0x80000002) и HKEY_CURRENT_USER (0x80000002-0x1), если не удалось их открыть, он пытается выяснить запускался ли он уже или это впервые.
Если ему удалось открыть какой-либо из них, MyDoom понимает, что уже выполнялся раньше, поэтому он создает мьютекс SwebSipcSmtxS0, чтобы убедиться, что работает только один его экземпляр.
Затем MyDoom получает текущее системное время и дату, чтобы убедиться, что день 2004-02-01 и время ещё не истекло. Следовательно, не каждая зараженная машина выполнит атаку, это зависит от системного времени.
Чтобы получить жестко закодированное время, я преобразовал два 32-битных значения в dwLowDateTime и dwHighDateTime в 64-битное значение для соответствия файлового времени:
Код:
dwLowDateTime = 0x0BE9ECB00
dwHighDateTime = 0x1C3E8DD << 32
execution_filetime = (dwLowDateTime & 0xFFFFFFFF) + dwHighDateTimeМеханизм DOS атак примитивный. Сначала он проверит, подключена ли машина к Интернету, затем создаст 63 потока и отправит запрос «GET /HTTP/1.1» от каждого из них
Ссылка скрыта от гостей
на TCP-порт 80 .Генерация сообщений происходит следующим образом, червь добавляет или 1-3 рандомных символа или какие-то имена, типа Джон, Мэй и так далее.
А Shimgapi.dll отвечает за бэкдор, его так же можно расшифровать с помощью UPX и давайте просмотрим, что же там у него внутри и как он устроен.
Проверим с помощью чего он упакован, а там так же UPX, и проведем декомпрессию:
Код:
file shimgapi.dll
upx -d shimgapi.dllЗатем закинем его в тот самый, не очень хороший декомпилятор, просмотрим импорты и прочее.
Так-то ничего нового он не создает и ничего особо не делает. Открывает порты TCP и отвечает за копирование в системные каталоги.
Сначала он вызывает RegisterServiceProcess, используемый для регистрации процесса в качестве службы, чтобы скрыть его от Диспетчера задач, да кстати вот таки есть такое уже.
Затем он добавляет себя в раздел реестра:
Код:
CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\InprocServer32Создав эту запись, Windows загрузит ее в адресное пространство explorer.exe.
Затем он пытается открыть любой порт в диапазоне от 3127 до 3198, любой пользователь может использовать его позже. Давайте запустим все открытые порты до запуска этого .dll:
Код:
netstat -aА теперь приведем этот файл в выполнение, повторная проверка даст следующий результат, порт 3127 ранее был закрыт:
Кстати все “исходники”, не знаю просто как их ещё обозвать, я оставлю внизу во вложениях. Запамятовал, говорил ли я о самом MyDoom, но он так же там будет. Тестируйте на здоровье, было тяжело нарыть их, гы.
Перед глазами Ли все еще открыто то самое письмо, которое гласит, мол ваш текст не был доставлен, так как адреса, на который вы отправили емейл не существует, но ведь Ли никому не писал. В чем же загвоздка?
Давайте ещё отвлечемся на установку виртуальной машины с Виндоус 2000, ибо найти нормальный .vdi для VirtualBox было тяжело, поэтому оставлю вот здеся ссылочку. О установке говорить нечего, стандартная процедура, без таких нюансов, как с 98-й.
Для корректной работы буфера обмена и гостевых папок придется установить Guest Addiction от виртуалбокса. Делается это следующим образом:
- Сперва включаем двунаправленный буфер обмена и функцию Drag&Drop в таком же порядке, как и буфер. Делается это во вкладочке “Устройства”, когда виртуальная машина запущена.
- Затем тыкаем на “Подключить образ гостевой ОС”, в разных версиях эта штука называется по-разному.
- Следуем простым шагам установки, даже если оно говорит о какой-то ошибке, просто жмите “продолжить установку”. В конечном счете это никак не повлияет на работу.
И вот момент, когда наш герой открывает зловред, что же происходит на самом деле в системе? Давайте узнаем.
Первым делом наш Ли замечает, что в текстовом документе какая-то хрень, типа вот того, что на скрине. Он не обращает ни малейшего внимания на это, но его интересует появление в диспетчере нового процесса. Кстати, интересно заметить, что в этом вирусе ещё нет функции завершения процесса, когда открыт диспетчер, хотя в версиях новее, эта функция будет ему присуща.
Затем Ли листает вниз папки system32 и замечает новый .dll, который автор потом ещё на анализ заберет. Наш герой начинает что-то подозревать и пытается завершить процесс, но получает ошибку, прав недостаточно. Далее он быстро удаляет подозрительный .dll, но получает ответ ,что он занят процессом, но в идеале так быть не должно, ведь это часть червя, открывающая бэкдор.
Затем можно заметить taskmoon.exe, он имеет ту самую иконку блокнота, которую слегка побило жизнью, Ли открывает тот, но ничего не происходит, ведь это и есть сам MyDoom. Кстати при повторном запуске исходника вируса ничего не произойдёт, на первый взгляд. А мы то с вами уже знаем, как он работает в случае, если уже запущен или запускался.
Далее Ли решает заглянуть в файл hosts. Там он замечает появление IP адреса сайта SCO Group.
Допустим, что наш герой решает не разбираться в этом всем, просто выключает машину и включает первого февраля, именно тогда, когда должна была начаться DOS атака на сайт.
Давайте откроем любой сниффер, под рукой был Вайршарк, поэтому используем его. Переводим дату и время, перезапускаем машину.
И сразу же мы видим трафик от нашего зараженного ПК в сторону айпи адреса. 30.000 пакетов в секунду. Впечатляет. Давайте допустим, что Ли что-то заподозрил и решил попытаться сам уничтожить вирус у себя на ПК.
Парень он у нас смышленый, следит за новостями и вот он решил скачать некий софт, который был изначально предназначен для быстрого удаления червя. Найти его было достаточно тяжело, в реалиях 2022 года, но не суть.
Ли запускает утилиту и начинает сканировать файлы, результат можете увидеть на скрине. Процесс сразу же исчезает из диспетчера задач, после можно проверить удален ли вирус из папки system32
и да, действительно, его нет. Давайте ещё раз перезапустим машину. Ничего не изменилось, атака прекратилась, компьютер деинфицирован.
Итоги
Практически 40 млрд. ущерба, миллионы инфицированных устройств, DDOS атака из одного миллиона устройств, TCP бэкдоры, уничтоженная компания, массовые спам рассылки. 15% мирового трафика и 40% писем всего мира в день, создатель неизвестен по сие время. И это на 2004 год. Да, все , что вы только что прочли относится к легендарному червю - MyDoom. А теперь представьте, если бы что-то подобное появилось в наше время. Хе-е-х..
И вот мы все о негативных сторонах появления этого вредоноса, но давайте размышлять здраво. Он дал огромный толчок в развитии информационной безопасности, указал на ключевые моменты и просчеты компаний и привел к эволюционированию антивирусного ПО. Разве это не хорошо? Такова цена прогресса и практического постижения своих ошибок. Общество изменилось благодаря этому вирусу. И если бы не он, что-то подобное бы возникло и рано или поздно повторило его достижения. Но произойди это позже, ущерб был бы намного больше. Не так ли ?
А с вами как всегда был какой-то парень под ником DeathDay и очередная писанина. Спасибо, что уделили время прочтению этого материала, надеюсь, что вам было весело и вы узнали что-то новое для себя. Не прощаюсь, цикл Исторической Вирусологии запущен. Мира всем.
I-Worm.MyDoom.
Последнее редактирование:
