A W32Mydoom@MM levelezés útján terjed, tömeges leveleket küld, kaput nyit a számítógépen a külső behatolásnak, és február elején a fertőzött gépek DOS támadást indítanak a www.sco.com domén ellen.
Hogyan ismerjük fel a vírusos levelet?
A virusos levél feladója esetleges, gyakran lopott e-mail cím. A Tárgy sokféle lehet, például:
- Error
- Status
- Server Report
- Mail Transaction Failed
- Mail Delivery System
- hello
- hi
A Szöveg változó, szerver üzenet látszatát kelti, például:
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
(Magyarul: Az üzenetet nem lehet 7-bites ASCII kódban
megjeleníteni, bináris csatolmányként utazik.)
További gyakori Szövegek:
- The message contains Unicode characters and has been sent as a binary attachment.
- Mail transaction failed. Partial message is available.
A csatolt állomány is változó (.bat, .exe, .pif,
.cmd, .scr) , gyakran ZIP archivumként
érkezik) (22.528 byte)
Az
állomány által használt ikon azt a benyomást próbálja kelteni, mintha
szövegállományról lenne szó.
Mi történik fertőzés esetén?
A W32Mydoom@MM vírus, ha a címzett rákattint és
lefuttatja, megnyitja a számítógépen a TCP 3127 kaput, ami lehetővé tesz idegen
behatolást a gépbe.
Amellett, hogy tömegesen
továbbküldi magát, a W32Mydoom@MM
február 1 és 12 között megváltoztatja "tevékenységét": ebben az időben a
fertőzött gépekről un. szolgáltatásblokkoló támadást (DOS, denial-of-service)
indít a www.sco.com internetes domén ellen.
(Mint ismeretes, az SCO jogvitát indított a Linu használói ellen.)
A vírus lefutása során megnyílik a Notepad program, értelmetlen karakterekkel tele:
Védekezés a W32Mydoom@MM ellen:
A
McAfee VirusScan 4319-es EXTRA.DAT frissítése már véd a Mydoom ellen.
Ha a
számítógép már fertőzött, az ingyenes Stinger alkalmazás (http://vil.nai.com/vil/stinger/)
lefuttatásával lehet megszabadulni a vírustól.
Ha a
fertőzés óta már volt a számítógépnek újraindítása, akkor a vírus már beírta a shimgapi.dll állományt az
EXPLORER.EXE indítási folyamatba. Ilyenkor a vírusirtó lefuttatása után újra
kell indítani a gépet.
A W32Mydoom@MM működése:
Ha
lefuttatják, bemásolja magát a helyi rendszerbe a következő állomány nevekkel:
c:\ProgramFiles\KaZaA\MySharedFolder\activation_crack.scr
c:\WINDOWS\Desktop\Document.scr
c:\WINDOWS\SYSTEM\taskmon.exe
Egy
DLL-t is használ, melyet a Windows rendszer könyvtárban hoz létre:
c:\WINDOWS\SYSTEM\shimgapi.dll (4,096
byte)
A
Registryben a következő bejegyzést hozza létre, hogy a Windows indulásakor
beinduljon:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\_
CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe