W32/MyDoom-A
(27. siječnja 2004.)

Registrirana je pojačana aktivnost crva W32/MyDoom-A za koji je Sophos Plc primio veći broj prijava otkrivanja. Qubis d.o.o. je do sada primio manji broj dojava otkrivanja ovog crva u Hrvatskoj. Crv W32/MyDoom-A prepoznavat će Sophos Anti-Virus za ožujak 2004. (v.3.79).

Instalacije svih korisnika koji koriste Enterprise Manager, Sophosov alat za automatizirano dograđivanje putem Interneta, dograđene su automatski 27. siječnja 2004., kada je objavljena prva verzija ove dogradnje ili nakon toga, ovisno o tome kako je podešena učestalost dograđivanja.

Svim korisnicima preporučujemo da, ako već nisu, svoje programe Sophos Anti-Virus odmah dograde hitnom dogradnjom za prepoznavanje ovog crva, koju možete naći na http://www.sophos.com/downloads/ide/.

Vrsta

Win32 crv

Alias

Mimail.R, Novarg.A, Shimg, W32.Novarg.A@mm, W32/Mydoom@MM

Način širenja

Crv napada operativni sustav Microsoft Windows. Širi se elektroničkom poštom, moguće pomoću vlastitog SMTP-a, i peer-to-peer mreže KaZaa.

Aktivnosti / Simptomi / Posljedice

Crv pretražuje datoteke na diskovima i iz njih izvlači elektroničke adrese koje koristi prilikom repliciranja. U polja From: i To: stavlja nasumično odabrane adrese tako da je adresa pošiljatelja lažna.

From:

(slučajno odabrana adresa)

To:

(slučajno odabrana adresa)

Subjekt:

• error

• hello

• hi

• mail delivery system

• mail transaction failed

• server report

• status

• test

Subjekt može sadržavati i slučajno odabrane znakove.

Poruka:

Privitak (attachment):

Naziv datoteke u privitku sadrži jednu od sljedećih riječi ili slučajno odabrane znakove:

• body
• data
• doc
• document
• file
• message
• readme
• test

Za nastavak naziva (ekstenziju) samog crva se koristi jedan od nastavaka:

a dolazi najčešće u .EXE ili .ZIP datoteci.

Kreira sljedeće datoteke:

• %SystemFolder%\taskmon.exe
• %SystemFolder%\shimgapi.dll (backdoor komponenta)

U registry dodaje:

• HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Taskmon = taskmon.exe

Otvara port 3127 koji može omogućiti napadaču izvana pristup inficiranom računalu.

Uklanjanje

Automatsko uklanjanje

• preuzmite Sophosov program (GUI ili komandnolinijski) za uklanjanje crva

• programi sadrže upute ili pomoć koji detaljno opisuju način uporabe

• radi uklanjanja većeg broja inficiranih računala na mreži programe snimite na prijenosni medij (CD, disketa, USB, ...)

Tehnički je moguće staviti te programe i na dijeljeni direktorij na poslužitelju te ga od tamo aktivirati i/ili forsirati primjenu na klijentima, ali moramo naglasiti da je u slučaju infekcije na mreži preporuka računala isključiti s LAN-a da bi se spriječilo dalje širenje.

Ručno uklanjanje

Windows 9X klasa:

• preuzmite IDE datoteku sa Sophosovih stranica i spremite ju u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep)

• pokrenite računalo u DOS

• programom %ProgramFiles%\Sophos Sweep\sweep.exe provjerite i očistite računalo

Windows NT-klasa:

• preuzmite IDE datoteku sa Sophosovih stranica i spremite ju u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep for NT)

• pokrenite računalo u Safe mode with Command prompt

• programom %ProgramFiles%\Sophos Sweep for NT\sav32cli.exe provjerite i očistite računalo

Zaštita od infekcije

• zatvaranje porta 3127 tamo gdje nije potrebno da bude aktivan

• zaštita na poslužiteljima elektroničke pošte

Ostalo

• Sophos - Podaci o crvu

• Sophosov program za uklanjanje (GUI ili komandnolinijski)

Sažetak svojstava