Sophos Plc obavijestio nas je o pojačanoj aktivnosti crva W32/Mimail-C za koji je primio više prijava otkrivanja. Qubis d.o.o. je do sada također primio nekoliko dojava otkrivanja ovog crva u Hrvatskoj. Crv W32/Mimail-C prepoznavat će Sophos Anti-Virus za prosinac 2003. (v3.76).

Instalacije svih korisnika koji koriste Enterprise Manager, Sophosov alat za automatizirano dograđivanje putem Interneta, dograđene su automatski 31. listopada 2003., kada je objavljena prva verzija ove dogradnje ili nakon toga, ovisno o tome kako je podešena učestalost dograđivanja.

Svim korisnicima preporučujemo da, ako već nisu, svoje programe Sophos Anti-Virus odmah dograde hitnom dogradnjom za prepoznavanje ovog crva, koju možete naći na http://www.sophos.com/downloads/ide/.

Vrsta

Win32 crv

Alias

• W32/Mimail.C@mm
• I-Worm.NetWatch
• W32/Bics@mm

Način širenja

Širi se elektroničkom poštom.

Aktivnosti / Simptomi / Posljedice

Po aktiviranju privitka crv na disku stvara nekoliko datoteka potrebnih za rad:

• %WinDir%\netwatch.exe (izvršni program)
• %WinDir%\zip.tmp
• %WinDir%\exe.tmp
• %WinDir%\eml.tmp (popis elektroničkih adresa na koje će poslati poruku)

Aktiviran crv se može prepoznati kao proces s nazivom netwatch.exe.

U registry zapiše novu stavku kako bi si osigurao aktiviranje pri pokretanju Windowsa:

• HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ NetWatch32

Elektroničke adresa na koje će se poslati nalazi u datotekama na dostupnim diskovima, a zapisuje ih u privremenu datoteku %WinDir%\eml.tmp. Tijekom pretraživanja diskova ne pretražuje datoteke sljedećih nastavaka: AVI, BMP, CAB, COM, DLL, EXE, GIF, JPG, MP3, MPG, OCX, PDF, PSD, RAR, TIF, VXD, WAV, ZIP. Elektroničke poruke koje pošalje mogu izgledati ovako:

Datoteka photos.zip sadrži inficiranu izvršnu datoteku photos.jpg.exe.

Pokreće DDoS (Denial of Service) napad slanjem paketa različitih veličina na sljedeće stranice:

• darkprofits.net
• www.darkprofits.net
• darkprofits.com
• www.darkprofits.com

Prema nekim informacijama, crv može pratiti pojavu aktivnosti na e-gold sustavu (http://www.e-gold.com) i u slučaju da ih otkrije može poslati specifične informacije na određene elektroničke adrese.

Uklanjanje

Windows NT klasa (NT/2000/XP/2003)

• isključite System restore
• zaustavite proces netwatch.exe
• uklonite datoteku %WinDir%\netwatch.exe
• uklonite dodanu stavku iz registry-ja:
     HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ NetWatch32
• pokrenite Sophos Anti-Virus i skenirajte računalo
• uključite System restore

Windows 9x klasa (95/98/ME)

• pokrenite računalo u DOS način
• skenirajte računalo programom SWEEP.EXE i uklonite datoteke s crvom W32/Mimail-C
• pokrenite računalo na uobičajen način
• uklonite dodanu stavku iz registry-ja:
     HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ NetWatch32
• pokrenite Sophos Anti-Virus i skenirajte računalo

Zaštita od infekcije ili aktivnosti crva

• redovita obnova Sophos Anti-Virusa
• redovita primjena sigurnosnih zakrpa i servisnih paketa za operativne sustave i aplikacije
• upotreba programa za antivirusnu provjeru elektroničke pošte na poslužiteljima
• onemogućenje slanja / primanja datoteka s nastavcima EXE, COM, PIF i sl.
• poduka korisnika o sigurnom načinu korištenja Interneta
• pravilno podešavanje administriranje mreže i računala

Ostalo

Još podataka možete pronaći na sljedećim stranicama:

• Sophos - Podaci o crvu
• Sophos - Općenite upute za uklanjanje crva

Sažetak svojstava