Mydoom
Z Wikipedie, otevřené encyklopedie
Tento článek potřebuje úpravy. Můžete Wikipedii pomoci tím, že ho vylepšíte. Jak by měly články vypadat, popisuje stránka Vzhled a styl, konkrétní problémy tohoto článku mohou být specifikovány na diskusní stránce.
Mydoom je velice známý počítačový červ. Objevil se na počátku roku 2004 a dodnes se na internetu vyskytuje v několika různých variantách. Napadá 32-bitové edice Microsoft Windows (95, 98, ME, 2000, NT, Server 2003, XP). Šíří se pomocí e-mailů. Pokud je počítač virem infikován, umožní případnému útočníkovi přístup k souborům, automaticky se šíří a zamezuje přístupu k serverům společnosti Microsoft.
Vir přichází jako příloha e-mailu s následujícími příponami: .exe, .bat, .cmd, .pif, .scr, nebo jako archiv .zip, .rar, .cab a jiné.
Obsah |
[editovat] Co virus dělá
Virus nasadí do počítače backdoor, který se pokusí otevřít porty pro přístup na internet a umožnit tak přístup k datům potencionálnímu útočníkovi.
Virus dále znemožní komunikovat se servery společnosti Microsoft (popřípadě ve verzi Mydoom.B k serverům některých antivrových společností ) pomocí DDOS (distributed denial of service - distribuované odepření služby). Společnost Microsoft se snaží vir vyhladit za pomoci Virus Information Alliance. Jaké postupy však používá pochopitelně nezveřejňuje.
[editovat] Varianty
Vir je znám v následujících variantách.
[editovat] Mydoom.A
Otevírá TCP porty 3127 a 3198 pomocí knihovny Shimgapi.dll a vyhledává e-mailové adresy v souborech s příponami .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt. Na tyto adresy se pak pokusí poslat pomocí vlastního SMTP.
[editovat] Mydoom.B
Na rozdíl od varianty A má následující funkce: Zabraňuje přístupu k serverům společnosti Microsoft a k serverům některých antivirových společností pomocí DDOS. Vytváří kopii sama sebe.
[editovat] Mydoom.C
Napadá počítače, které již byly napadeny variantou A (resp. vyhledá v síti počítače napadené variantou A. a upgraduje je na verzi B)
[editovat] Detekce a zneškodnění
Na stránkách společnosti Microsoft byly uveřejněny informace o těchto virech a o jejich ruční (bez pomoci antivirového softwaru) detekci a odstranění.
[editovat] Detekce
- Zapněte příkazový řádek (Start spustit cmd)
- Přepněte se do kořenového adresáře lokálního disku (příkaz cd \)
- Zjistete přítomnost souboru shimgapi.dll (dir shimgapi.dll /a /s )
- Pokud soubor nebyl nalezen, je vše v pořádku. Pokud nalezen byl, potom jste byly infikování variantou A a je vhodné obrátit se na spolehlivý anitvirový program (volbu nechám na Vás)
- Zjistěte přítomnost souboru ctfmon.dll (dir ctfmon.dll /a /s)
- Pokud soubor nebyl nalezen, je vše v pořádku. Pokud nalezen byl, potom jste byly infikování variantou B a je vhodné obrátit se na spolehlivý anitvirový program (volbu ponechám opět na Vás)
- Zjistěte přítomnost souboru intrenat.exe (dir intrenat.exe /a /s)
- Pokud soubor nebyl nalezen, je vše v pořádku. Pokud nalezen byl, potom jste byly infikování variantou C, ale je možné vir okamžitě ručně odstranit.
[editovat] Zneškodnění varianty Mydoom.C
- Ukončete pomocí správce úloh (Ctrl+Alt+Delete - kdo by neznal), na záložce procesy, proces internat.exe
- Odstraňte soubor z disku. Nachází se ve složce se systémem/system32 (Standartně C:/WINDOWS/system32)
- V REGEDITU (Start►Spustit►regedit) ostraňte klíč HKey_Local_Machine\gremlin HKey_Current_User, Key\gremlin
- Odstraňte každý soubor s názvem sync-src-1.00.tbz který se bude nacházet v kořenovém adresáři pevného disku a v koř. adresáři uživatelského profilu.