Mydoom
Mydoom je velice známý počítačový červ. Objevil se na počátku roku 2004 a dodnes se na internetu vyskytuje v několika různých variantách. Napadá 32bitové edice Microsoft Windows (95, 98, ME, 2000, NT, Server 2003, XP). Šíří se pomocí e-mailů. Pokud je počítač virem infikován, umožní případnému útočníkovi přístup k souborům, automaticky se šíří a zamezuje přístupu k serverům společnosti Microsoft.
Vir přichází jako příloha e-mailu s následujícími příponami: .exe, .bat, .cmd, .pif, .scr, nebo jako archiv .zip, .rar, .cab a jiné.
Co virus dělá[editovat | editovat zdroj]
Virus nasadí do počítače backdoor, který se pokusí otevřít porty pro přístup na internet a umožnit tak přístup k datům potenciálnímu útočníkovi.
Virus dále znemožní komunikovat se servery společnosti Microsoft (popřípadě ve verzi Mydoom.B k serverům některých antivirových společností) pomocí DDOS (distributed denial of service - distribuované odepření služby). Společnost Microsoft se snaží vir vyhladit za pomoci Virus Information Alliance. Jaké postupy však používá pochopitelně nezveřejňuje.
Varianty[editovat | editovat zdroj]
Vir je znám v následujících variantách.
Mydoom.A[editovat | editovat zdroj]
Otevírá TCP porty 3127 a 3198 pomocí knihovny Shimgapi.dll a vyhledává e-mailové adresy v souborech s příponami .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt. Na tyto adresy se pak pokusí poslat pomocí vlastního SMTP.
Mydoom.B[editovat | editovat zdroj]
Na rozdíl od varianty A má následující funkce: Zabraňuje přístupu k serverům společnosti Microsoft a k serverům některých antivirových společností pomocí DDOS. Vytváří kopii sama sebe.
Mydoom.C[editovat | editovat zdroj]
Napadá počítače, které již byly napadeny variantou A (resp. vyhledá v síti počítače napadené variantou A. a upgraduje je na verzi B)
Detekce a zneškodnění[editovat | editovat zdroj]
Na stránkách společnosti Microsoft byly uveřejněny informace o těchto virech a o jejich ruční (bez pomoci antivirového softwaru) detekci a odstranění.
Detekce[editovat | editovat zdroj]
- Zapněte příkazový řádek (Start > Spustit cmd)
- Přepněte se do kořenového adresáře lokálního disku (příkaz cd \)
- Zjistěte přítomnost souboru shimgapi.dll (dir shimgapi.dll /a /s )
- Pokud soubor nebyl nalezen, je vše v pořádku. Pokud nalezen byl, potom jste byli infikování variantou A a je vhodné obrátit se na spolehlivý antivirový program (Například nejspolehlivější je ESET internet security)
- Zjistěte přítomnost souboru ctfmon.dll (dir ctfmon.dll /a /s)
- Pokud soubor nebyl nalezen, je vše v pořádku. Pokud nalezen byl, potom jste byli infikování variantou B a je vhodné obrátit se na spolehlivý antivirový program (volbu ponechám opět na Vás)
- Zjistěte přítomnost souboru intrenat.exe (dir intrenat.exe /a /s)
- Pokud soubor nebyl nalezen, je vše v pořádku. Pokud nalezen byl, potom jste byli infikování variantou C, ale je možné vir okamžitě ručně odstranit.
Zneškodnění varianty Mydoom.C[editovat | editovat zdroj]
- Ukončete pomocí správce úloh (Ctrl+Alt+Delete - kdo by neznal), na záložce procesy, proces internat.exe
- Odstraňte soubor z disku. Nachází se ve složce se systémem/system32 (Standardně C:/WINDOWS/system32)
- V REGEDITU (Start►Spustit►regedit) odstraňte klíč HKey_Local_Machine\gremlin HKey_Current_User, Key\gremlin
- Odstraňte každý soubor s názvem sync-src-1.00.tbz který se bude nacházet v kořenovém adresáři pevného disku a v koř. adresáři uživatelského profilu.