Prim Hírek

A W32Mydoom@MM levelezés útján terjed, tömeges leveleket küld, kaput nyit a számítógépen a külső behatolásnak, és február elején a fertőzött gépek DOS támadást indítanak a www.sco.com domén ellen.

Hogyan ismerjük fel a vírusos levelet?

A virusos levél feladója esetleges, gyakran lopott e-mail cím. A Tárgy sokféle lehet, például:

• Error
• Status
• Server Report
• Mail Transaction Failed
• Mail Delivery System
• hello
• hi

A Szöveg változó, szerver üzenet látszatát kelti, például:

• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

(Magyarul: Az üzenetet nem lehet 7-bites ASCII kódban megjeleníteni, bináris csatolmányként utazik.)

További gyakori Szövegek:

• The message contains Unicode characters and has been sent as a binary attachment.
• Mail transaction failed. Partial message is available.

A csatolt állomány is változó (.bat, .exe, .pif, .cmd, .scr) , gyakran ZIP archivumként érkezik) (22.528 byte)

Az állomány által használt ikon azt a benyomást próbálja kelteni, mintha szövegállományról lenne szó.

Mi történik fertőzés esetén?

A W32Mydoom@MM vírus, ha a címzett rákattint és lefuttatja, megnyitja a számítógépen a TCP 3127 kaput, ami lehetővé tesz idegen behatolást a gépbe.

Amellett, hogy tömegesen továbbküldi magát, a W32Mydoom@MM február 1 és 12 között megváltoztatja "tevékenységét": ebben az időben a fertőzött gépekről un. szolgáltatásblokkoló támadást (DOS, denial-of-service) indít a www.sco.com internetes domén ellen. (Mint ismeretes, az SCO jogvitát indított a Linu használói ellen.)

A vírus lefutása során megnyílik a Notepad program, értelmetlen karakterekkel tele:

Védekezés a W32Mydoom@MM ellen:

A McAfee VirusScan 4319-es EXTRA.DAT frissítése már véd a Mydoom ellen.

Ha a számítógép már fertőzött, az ingyenes Stinger alkalmazás (http://vil.nai.com/vil/stinger/) lefuttatásával lehet megszabadulni a vírustól.

Ha a fertőzés óta már volt a számítógépnek újraindítása, akkor a vírus már beírta a shimgapi.dll állományt az EXPLORER.EXE indítási folyamatba. Ilyenkor a vírusirtó lefuttatása után újra kell indítani a gépet.

A W32Mydoom@MM működése:

Ha lefuttatják, bemásolja magát a helyi rendszerbe a következő állomány nevekkel:

c:\ProgramFiles\KaZaA\MySharedFolder\activation_crack.scr
c:\WINDOWS\Desktop\Document.scr
c:\WINDOWS\SYSTEM\taskmon.exe

Egy DLL-t is használ, melyet a Windows rendszer könyvtárban hoz létre:

c:\WINDOWS\SYSTEM\shimgapi.dll (4,096 byte)

A Registryben a következő bejegyzést hozza létre, hogy a Windows indulásakor beinduljon:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\_
CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe