A W32Mydoom@MM vírus februárban támadást indít az sco.com ellen

forrás Prim Online, 2004. január 28. 13:59
Az AVERT, a Network Associates vírusszakértői csoportja magyar idő szerint hétfőn, éjfél előtti közleménye szerint a W32/Mydoom@MM email-vírus nagy veszélyességű kitörést jelent mind a munkahelyi, mind az otthoni felhasználók számára.

A W32Mydoom@MM levelezés útján terjed, tömeges leveleket küld, kaput nyit a számítógépen a külső behatolásnak, és február elején a fertőzött gépek DOS támadást indítanak a www.sco.com domén ellen.

Hogyan ismerjük fel a vírusos levelet?

A virusos levél feladója esetleges, gyakran lopott e-mail cím. A Tárgy sokféle lehet, például:

  • Error
  • Status
  • Server Report
  • Mail Transaction Failed
  • Mail Delivery System
  • hello
  • hi

A Szöveg változó, szerver üzenet látszatát kelti, például:

  • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

(Magyarul: Az üzenetet nem lehet 7-bites ASCII kódban megjeleníteni, bináris csatolmányként utazik.)

További gyakori Szövegek:

  • The message contains Unicode characters and has been sent as a binary attachment.
  • Mail transaction failed. Partial message is available.

A csatolt állomány is változó (.bat, .exe, .pif, .cmd, .scr) , gyakran ZIP archivumként érkezik) (22.528 byte)

Az állomány által használt ikon azt a benyomást próbálja kelteni, mintha szövegállományról lenne szó.



Mi történik fertőzés esetén?

A W32Mydoom@MM vírus, ha a címzett rákattint és lefuttatja, megnyitja a számítógépen a TCP 3127 kaput, ami lehetővé tesz idegen behatolást a gépbe.

Amellett, hogy tömegesen továbbküldi magát, a W32Mydoom@MM február 1 és 12 között megváltoztatja "tevékenységét": ebben az időben a fertőzött gépekről un. szolgáltatásblokkoló támadást (DOS, denial-of-service) indít a www.sco.com internetes domén ellen. (Mint ismeretes, az SCO jogvitát indított a Linu használói ellen.)

A vírus lefutása során megnyílik a Notepad program, értelmetlen karakterekkel tele:

Védekezés a W32Mydoom@MM ellen:

A McAfee VirusScan 4319-es EXTRA.DAT frissítése már véd a Mydoom ellen.

Ha a számítógép már fertőzött, az ingyenes Stinger alkalmazás (http://vil.nai.com/vil/stinger/) lefuttatásával lehet megszabadulni a vírustól.

Ha a fertőzés óta már volt a számítógépnek újraindítása, akkor a vírus már beírta a shimgapi.dll állományt az EXPLORER.EXE indítási folyamatba. Ilyenkor a vírusirtó lefuttatása után újra kell indítani a gépet.

A W32Mydoom@MM működése:

Ha lefuttatják, bemásolja magát a helyi rendszerbe a következő állomány nevekkel:

c:\ProgramFiles\KaZaA\MySharedFolder\activation_crack.scr
c:\WINDOWS\Desktop\Document.scr
c:\WINDOWS\SYSTEM\taskmon.exe

Egy DLL-t is használ, melyet a Windows rendszer könyvtárban hoz létre:

c:\WINDOWS\SYSTEM\shimgapi.dll (4,096 byte)

A Registryben a következő bejegyzést hozza létre, hogy a Windows indulásakor beinduljon:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\_
CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36

A virtuális valóság az egészségügyet is forradalmasíthatja

2024. november 12. 18:01