Tombol a Mydoom@MM féregvírus

Az AVERT, a Network Associates vírusszakértői csoportjának közleménye szerint a W32/Mydoom@MM email-vírus nagy veszélyességű kitörést jelent mind a munkahelyi, mind az otthoni felhasználók számára.

A W32Mydoom@MM levelezés útján terjed, tömeges leveleket küld, kaput nyit a számítógépen a külső behatolásnak, és február elején a fertőzött gépek DOS támadást indítanak a www.sco.com domén ellen.

Hogyan ismerjük fel a vírusos levelet?
A virusos levél feladója esetleges, gyakran lopott e-mail cím. A Tárgy sokféle lehet, például:

Error

Status

Server Report

Mail Transaction Failed

Mail Delivery System

hello

hi

A Szöveg változó, szerver üzenet látszatát kelti, például:

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. (Magyarul: Az üzenetet nem lehet 7-bites ASCII kódban megjeleníteni, bináris csatolmányként utazik.)

További gyakori Szövegek:

The message contains Unicode characters and has been sent as a binary attachment.

Mail transaction failed. Partial message is available.
A csatolt állomány is változó (.bat, .exe, .pif, .cmd, .scr) , gyakran ZIP archivumként érkezik) (22.528 byte). Az állomány által használt ikon azt a benyomást próbálja kelteni, mintha szövegállományról lenne szó.

Mi történik fertőzés esetén?

A W32Mydoom@MM vírus, ha a címzett rákattint és lefuttatja, megnyitja a számítógépen a TCP 3127 kaput, ami lehetővé tesz idegen behatolást a gépbe. Amellett, hogy tömegesen továbbküldi magát, a W32Mydoom@MM február 1 és 12 között megváltoztatja "tevékenységét": ebben az időben a fertőzött gépekről un. szolgáltatásblokkoló támadást (DOS, denial-of-service) indít a www.sco.com internetes domén ellen. (Mint ismeretes, az SCO jogvitát indított a Linux használói ellen.) A vírus lefutása során megnyílik a Notepad program, értelmetlen karakterekkel tele:


Védekezés a W32Mydoom@MM ellen

Ha a számítógép már fertőzött, az ingyenes Stinger alkalmazás lefuttatásával lehet megszabadulni a vírustól. Ha a fertőzés óta már volt a számítógépnek újraindítása, akkor a vírus már beírta a shimgapi.dll állományt az EXPLORER.EXE indítási folyamatba. Ilyenkor a vírusirtó lefuttatása után újra kell indítani a gépet.

Kapcsolódó cikkek

• Nagy veszélyességû víruskitörés: W32/Mydoom@MM (2004. január 27.)
• W32/Dumaru.y@MM: már közepesen veszélyes a levelező féreg (2004. január 27.)
• W32/Bagle@MM: közepesen veszélyes a "számológépes" féregvírus (2004. január 19.)
• Harmadszor is elnyerte a Frost & Sullivan Díját a Network Associates Sniffer részlege (2003. december 30.)
• A Network Associates eladja a Magic Solutions-t a BMC Software-nek (2003. december 16.)

Kapcsolódó linkek

• Network Associates