Mydoom

Mydoom je velice známý počítačový červ. Objevil se na počátku roku 2004 a dodnes se na internetu vyskytuje v několika různých variantách. Napadá 32bitové edice Microsoft Windows (95, 98, ME, 2000, NT, Server 2003, XP). Šíří se pomocí e-mailů. Pokud je počítač virem infikován, umožní případnému útočníkovi přístup k souborům, automaticky se šíří a zamezuje přístupu k serverům společnosti Microsoft.

Vir přichází jako příloha e-mailu s následujícími příponami: .exe, .bat, .cmd, .pif, .scr, nebo jako archiv .zip, .rar, .cab a jiné.

Co virus dělá

Virus nasadí do počítače backdoor, který se pokusí otevřít porty pro přístup na internet a umožnit tak přístup k datům potenciálnímu útočníkovi.

Virus dále znemožní komunikovat se servery společnosti Microsoft (popřípadě ve verzi Mydoom.B k serverům některých antivirových společností) pomocí DDOS (distributed denial of service - distribuované odepření služby). Společnost Microsoft se snaží vir vyhladit za pomoci Virus Information Alliance. Jaké postupy však používá pochopitelně nezveřejňuje.

Varianty

Vir je znám v následujících variantách.

Mydoom.A

Otevírá TCP porty 3127 a 3198 pomocí knihovny Shimgapi.dll a vyhledává e-mailové adresy v souborech s příponami .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt. Na tyto adresy se pak pokusí poslat pomocí vlastního SMTP.

Mydoom.B

Na rozdíl od varianty A má následující funkce: Zabraňuje přístupu k serverům společnosti Microsoft a k serverům některých antivirových společností pomocí DDOS. Vytváří kopii sama sebe.

Mydoom.C

Napadá počítače, které již byly napadeny variantou A (resp. vyhledá v síti počítače napadené variantou A. a upgraduje je na verzi B)

Detekce a zneškodnění

Na stránkách společnosti Microsoft byly uveřejněny informace o těchto virech a o jejich ruční (bez pomoci antivirového softwaru) detekci a odstranění.

Detekce

  1. Zapněte příkazový řádek (Start > Spustit cmd)
  2. Přepněte se do kořenového adresáře lokálního disku (příkaz cd \)
  3. Zjistěte přítomnost souboru shimgapi.dll (dir shimgapi.dll /a /s )
  4. Pokud soubor nebyl nalezen, je vše v pořádku. Pokud nalezen byl, potom jste byli infikování variantou A a je vhodné obrátit se na spolehlivý antivirový program (Například nejspolehlivější je ESET internet security)
  5. Zjistěte přítomnost souboru ctfmon.dll (dir ctfmon.dll /a /s)
  6. Pokud soubor nebyl nalezen, je vše v pořádku. Pokud nalezen byl, potom jste byli infikování variantou B a je vhodné obrátit se na spolehlivý antivirový program (volbu ponechám opět na Vás)
  7. Zjistěte přítomnost souboru intrenat.exe (dir intrenat.exe /a /s)
  8. Pokud soubor nebyl nalezen, je vše v pořádku. Pokud nalezen byl, potom jste byli infikování variantou C, ale je možné vir okamžitě ručně odstranit.

Zneškodnění varianty Mydoom.C

  1. Ukončete pomocí správce úloh (Ctrl+Alt+Delete - kdo by neznal), na záložce procesy, proces internat.exe
  2. Odstraňte soubor z disku. Nachází se ve složce se systémem/system32 (Standardně C:/WINDOWS/system32)
  3. V REGEDITU (Start►Spustit►regedit) odstraňte klíč HKey_Local_Machine\gremlin HKey_Current_User, Key\gremlin
  4. Odstraňte každý soubor s názvem sync-src-1.00.tbz který se bude nacházet v kořenovém adresáři pevného disku a v koř. adresáři uživatelského profilu.

Externí odkazy