Mydoom
Author
Albert FloresMydoom je velice známý počítačový červ. Objevil se na počátku roku 2004 a dodnes se na internetu vyskytuje v několika různých variantách. Napadá 32bitové edice Microsoft Windows (95, 98, ME, 2000, NT, Server 2003, XP). Šíří se pomocí e-mailů. Pokud je počítač virem infikován, umožní případnému útočníkovi přístup k souborům, automaticky se šíří a zamezuje přístupu k serverům společnosti Microsoft.
Vir přichází jako příloha e-mailu s následujícími příponami: . exe, . +morebat, . cmd, . pif, . scr, nebo jako archiv . zip, . rar, . cab a jiné.
Co virus dělá
Virus nasadí do počítače backdoor, který se pokusí otevřít porty pro přístup na internet a umožnit tak přístup k datům potenciálnímu útočníkovi.
Virus dále znemožní komunikovat se servery společnosti Microsoft (popřípadě ve verzi Mydoom. B k serverům některých antivirových společností) pomocí DDOS (distributed denial of service - distribuované odepření služby). +more Společnost Microsoft se snaží vir vyhladit za pomoci Virus Information Alliance. Jaké postupy však používá pochopitelně nezveřejňuje.
Varianty
Vir je znám v následujících variantách.
Mydoom.A
Otevírá TCP porty 3127 a 3198 pomocí knihovny Shimgapi. dll a vyhledává e-mailové adresy v souborech s příponami . +morehtm, . sht, . php, . asp, . dbx, . tbb, . adb, . pl, . wab, . txt. Na tyto adresy se pak pokusí poslat pomocí vlastního SMTP.
Mydoom.B
Na rozdíl od varianty A má následující funkce: Zabraňuje přístupu k serverům společnosti Microsoft a k serverům některých antivirových společností pomocí DDOS. Vytváří kopii sama sebe.
Mydoom.C
Napadá počítače, které již byly napadeny variantou A (resp. vyhledá v síti počítače napadené variantou A. a upgraduje je na verzi B)
Detekce a zneškodnění
Na stránkách společnosti Microsoft byly uveřejněny informace o těchto virech a o jejich ruční (bez pomoci antivirového softwaru) detekci a odstranění.
Detekce
# Zapněte příkazový řádek (Start > Spustit cmd) # Přepněte se do kořenového adresáře lokálního disku (příkaz cd \) # Zjistěte přítomnost souboru shimgapi. dll (dir shimgapi. +moredll /a /s ) # Pokud soubor nebyl nalezen, je vše v pořádku. Pokud nalezen byl, potom jste byli infikování variantou A a je vhodné obrátit se na spolehlivý antivirový program (Například nejspolehlivější je ESET internet security) # Zjistěte přítomnost souboru ctfmon. dll (dir ctfmon. dll /a /s) # Pokud soubor nebyl nalezen, je vše v pořádku. Pokud nalezen byl, potom jste byli infikování variantou B a je vhodné obrátit se na spolehlivý antivirový program (volbu ponechám opět na Vás) # Zjistěte přítomnost souboru intrenat. exe (dir intrenat. exe /a /s) # Pokud soubor nebyl nalezen, je vše v pořádku. Pokud nalezen byl, potom jste byli infikování variantou C, ale je možné vir okamžitě ručně odstranit.
Zneškodnění varianty Mydoom.C
# Ukončete pomocí správce úloh (Ctrl+Alt+Delete - kdo by neznal), na záložce procesy, proces internat. exe # Odstraňte soubor z disku. +more Nachází se ve složce se systémem/system32 (Standardně C:/WINDOWS/system32) # V REGEDITU (Start►Spustit►regedit) odstraňte klíč HKey_Local_Machine\gremlin HKey_Current_User, Key\gremlin # Odstraňte každý soubor s názvem sync-src-1. 00. tbz který se bude nacházet v kořenovém adresáři pevného disku a v koř. adresáři uživatelského profilu.
Externí odkazy
[url=http://www.microsoft.com]www.microsoft.com[/url] *[url=http://www.symantec.com]www.symantec.com[/url]