Crv W32/MyDoom-O
(27. srpnja 2004.)
Sophos nas je obavijestio o pojačanoj aktivnosti crva W32/MyDoom-O za koji je primio više prijava otkrivanja. Qubis d.o.o. do sada nije primio nijednu dojavu otkrivanja ovog crva u Hrvatskoj. W32/MyDoom-O prepoznavat će Sophos Anti-Virus za rujan 2004 (v.3.85).
Instalacije svih korisnika koji koriste EMLibrary, PureMessage i/ili neki od paketa Sophos Small Business dograđene su automatski 26. srpnja 2004., kada je objavljena prva verzija ove dogradnje ili nakon toga, ovisno o tome kako je podešena učestalost dograđivanja.
Svim korisnicima preporučujemo da, ako već nisu, svoje programe Sophos Anti-Virus odmah dograde hitnom dogradnjom za prepoznavanje ovog crva, koju možete naći na http://www.sophos.com/downloads/ide/.
W32/Mydoom.o@MM, WORM_MYDOOM.M, Win32.Mydoom.O
Širi se elektroničkom poštom koristeći vlastiti SMTP mehanizam.
Elektronička poruka s inficiranom datotekom može sadržavati sljedeće dijelove:
| Pošiljatelj (From:) |
| (slučajno odabrana adresa) |
| Primatelj (To:) |
| Slučajno odabrana adresa ali izbjegava slanje na domene koje sadrže sljedeći tekst: mailer-d, spam, abuse, master, sample, accoun, privacycertific, bugs, listserv, submit, ntivi, support, admin, page, the.bat, gold-certs, ca, feste, not, help, foo, no, soft, site, rating, me, you, your, someone, anyone, nothing, nobody, noone, info, winrar, winzip, rarsoft, sf.net, sourceforge, ripe., arin., google, gnu., gmail, seclist, secur, bar., foo.com, trend, update, uslis, domain, example, sophos, yahoo, spersk, panda, hotmail, msn., msdn., microsoft, sarc., syma, avp |
| Subjekt (Subject:) |
|
| Poruka (Message:) |
| Poruka se stvara kombinacijom nekoliko fraza ugrađenih u tijelo crva, pa postoji veći broj mogućih kombinacija, no može sadržavati sljedeći tekst: We have detected that your e-mail account has been used to send a large amount of unsolicited e-mail messages during this recent week. We suspect that your computer had been compromised by a recent virus and now runs a trojan proxy server. Please follow our instructions in the attachment file in order to keep your computer safe. Virtually yours (domain) user support team. ----- The following addresses had permanent fatal errors ----- (address) ----- Transcript of the session follows ----- ... while talking to host >>> MAIL From:(address) <<< 501 User unknown Session aborted >>> RCPT To:(address) <<< 550 MAILBOX NOT FOUND Your message was not delivered because the destination computer was not reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura- tion parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now. Your message was not delivered within (number) days: Mail server The following recipients did not receive this message: (address) Please reply to postmaster@(domain) if you feel this message to be in error. |
| Privitak (Attachment:) |
Privitak može sadržavati sljedeće riječi ili biti nazvan slično nazivu primatelja ili domene:
Dolazi obično s dvostrukim nastavkom (naziv.ext1.ext2).Prvi nastavak je obično DOC, TXT, HTM, HTML, a konačni je EXE, COM, BAT, CMD, SCR ili PIF. Takva datoteka može doći i unutar ZIP arhive sličnog naziva. |
Kada se pokrene pristigla izvršna datoteka, kopira se na disk i pretražuje datoteke PL*, PH*, TX*, HT*, ASP, TBB, SHT*, WAB, ADB, DBX i Windows address book i iz njih uzima elektroničke adrese koje će koristiti u poljima FROM: i TO:. Kao zanimljivost navodimo činjenicu da za prikupljanje većeg broja elektroničkih adresa koristi i popularne tražilice na Internetu (Google, Lycos, Yahoo i Altavista). Na neku od navedenih tražilica će poslati upis koji sadrži naziv domene jedne od već pronađenih elektroničkih adresa i analizirati rezultat tražeći e-adrese.
Datoteke
Kreira sljedeće datoteke:
Registry
U registry dodaje:
Po aktiviranju, crv s Interneta preuzima backdoor program koji otvata port 1034:tcp i može omogućiti napadaču izvana pristup inficiranom računalu ili obnovu crva.
Automatsko
Sophos će automatski ukloniti inficirane datoteke s diska ako je tako namješten, a spriječit će aktivnu infekciju ako je bio ažuriran i aktivan prije crva.
Ručno
zatvaranje porta 1034:tcp tamo gdje nije potrebno da bude otvoren
Windows 9X klasa (Windows 95/98/ME):
preuzmite IDE datoteke sa Sophosovih stranica za trenutno instaliranu inačicu Sophosa
stavite ih u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep)
pokrenite računalo u DOS
programom %ProgramFiles%\Sophos Sweep\sweep.exe provjerite i očistite računalo
Windows NT-klasa (Windows NT/2000/XP/2003):
preuzmite IDE datoteke sa Sophosovih stranica za trenutno instliranu inačicu Sophosa
stavite ih u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep for NT)
pokrenite računalo u Safe mode with Command prompt
programom %ProgramFiles%\Sophos Sweep for NT\sav32cli.exe provjerite i očistite računalo
antivirusna zaštita na poslužiteljima elektroničke pošte
filtriranje prometa - zabrana slanja / primanja izvršnih datoteka poštom (.exe, .com, .bat, .cmd, .pif, .scr, ...)
poduka krajnjih korisnika
| Širenje | |
| R | |
| Vlastiti SMTP mehanizam | R |
| Network share | Q |
| P2P | Q |
| Ostalo | Q |
| Aktivnost | |
| Zaustavlja Sophos | Q |
| Mijenja registry | R |
| Kreira / Mijenja datoteke | R |
| Otvara backdoor | R |
| Otvara port (1034:tcp) | R |
| KeyLogging | Q |
| Automatski se obnavlja | ? |
| Uklanjanje | |
| Čišćenje / Uklanjanje (DOS / Safe mode + Cmd prompt) | R |
| Promjena registry-ja | R |
| Čišćenje datoteka | Q |
| Uklanjanje datoteka | R |
| Zaštita | |
| Servisni paket i / ili sigurnosna zakrpa | R |
| Filtriranje sadržaja na proxy poslužitelju | Q |
| Vatrozid (port: 1034:tcp) | R |
| Poduka korisnika | R |
| Zabrana prometa izvršnim datotekama (exe, com, bat, cmd, pif, scr, ...) | R |