Cesko.wiki
Registrovat

Mydoom

Technology
12 hours ago
8
4
2
Avatar
Author
Albert Flores

Mydoom je velice známý počítačový červ. Objevil se na počátku roku 2004 a dodnes se na internetu vyskytuje v několika různých variantách. Napadá 32bitové edice Microsoft Windows (95, 98, ME, 2000, NT, Server 2003, XP). Šíří se pomocí e-mailů. Pokud je počítač virem infikován, umožní případnému útočníkovi přístup k souborům, automaticky se šíří a zamezuje přístupu k serverům společnosti Microsoft.

Vir přichází jako příloha e-mailu s následujícími příponami: . exe, . +morebat, . cmd, . pif, . scr, nebo jako archiv . zip, . rar, . cab a jiné.

Co virus dělá

Virus nasadí do počítače backdoor, který se pokusí otevřít porty pro přístup na internet a umožnit tak přístup k datům potenciálnímu útočníkovi.

Virus dále znemožní komunikovat se servery společnosti Microsoft (popřípadě ve verzi Mydoom. B k serverům některých antivirových společností) pomocí DDOS (distributed denial of service - distribuované odepření služby). +more Společnost Microsoft se snaží vir vyhladit za pomoci Virus Information Alliance. Jaké postupy však používá pochopitelně nezveřejňuje.

Varianty

Vir je znám v následujících variantách.

Mydoom.A

Otevírá TCP porty 3127 a 3198 pomocí knihovny Shimgapi. dll a vyhledává e-mailové adresy v souborech s příponami . +morehtm, . sht, . php, . asp, . dbx, . tbb, . adb, . pl, . wab, . txt. Na tyto adresy se pak pokusí poslat pomocí vlastního SMTP.

Mydoom.B

Na rozdíl od varianty A má následující funkce: Zabraňuje přístupu k serverům společnosti Microsoft a k serverům některých antivirových společností pomocí DDOS. Vytváří kopii sama sebe.

Mydoom.C

Napadá počítače, které již byly napadeny variantou A (resp. vyhledá v síti počítače napadené variantou A. a upgraduje je na verzi B)

Important

počítačový červ
Windows 2000
DDOS
internet
Microsoft Windows
Windows 95
Windows 98
Windows Me
2004
Windows Server 2003
Windows NT
Windows XP

Detekce a zneškodnění

Na stránkách společnosti Microsoft byly uveřejněny informace o těchto virech a o jejich ruční (bez pomoci antivirového softwaru) detekci a odstranění.

Detekce

# Zapněte příkazový řádek (Start > Spustit cmd) # Přepněte se do kořenového adresáře lokálního disku (příkaz cd \) # Zjistěte přítomnost souboru shimgapi. dll (dir shimgapi. +moredll /a /s ) # Pokud soubor nebyl nalezen, je vše v pořádku. Pokud nalezen byl, potom jste byli infikování variantou A a je vhodné obrátit se na spolehlivý antivirový program (Například nejspolehlivější je ESET internet security) # Zjistěte přítomnost souboru ctfmon. dll (dir ctfmon. dll /a /s) # Pokud soubor nebyl nalezen, je vše v pořádku. Pokud nalezen byl, potom jste byli infikování variantou B a je vhodné obrátit se na spolehlivý antivirový program (volbu ponechám opět na Vás) # Zjistěte přítomnost souboru intrenat. exe (dir intrenat. exe /a /s) # Pokud soubor nebyl nalezen, je vše v pořádku. Pokud nalezen byl, potom jste byli infikování variantou C, ale je možné vir okamžitě ručně odstranit.

Zneškodnění varianty Mydoom.C

# Ukončete pomocí správce úloh (Ctrl+Alt+Delete - kdo by neznal), na záložce procesy, proces internat. exe # Odstraňte soubor z disku. +more Nachází se ve složce se systémem/system32 (Standardně C:/WINDOWS/system32) # V REGEDITU (Start►Spustit►regedit) odstraňte klíč HKey_Local_Machine\gremlin HKey_Current_User, Key\gremlin # Odstraňte každý soubor s názvem sync-src-1. 00. tbz který se bude nacházet v kořenovém adresáři pevného disku a v koř. adresáři uživatelského profilu.

Externí odkazy

[url=http://www.microsoft.com]www.microsoft.com[/url] *[url=http://www.symantec.com]www.symantec.com[/url]

Kategorie:E-mailoví červi

5 min read
Share this post:
Like it 8

Leave a Comment

Please, enter your name.
Please, provide a valid email address.
Please, enter your comment.
Enjoy this post? Join Cesko.wiki
Don’t forget to share it
Top