Nie daj się zdoomować

McAfee AVERT poinformowała o nowym (sklasyfikowanym jako groźny) wirusie W32/Mydoom@mm. Mydoom jest destruktywnym robakiem rozprzestrzeniającym się za pomocą poczty elektronicznej jako załącznik binarny pojawiający się jako tekstowy. O pojawieniu się tego zagrożenia laboratorium McAfee AVERT poinformowało na podstawie wykrycia tego wirusa w ponad 25 firmach oraz na terytoriach Azji, Kanady, Europy, Japonii, Ameryki Łacińskiej i Stanów Zjednoczonych.

McAfee AVERT poinformowała o nowym (sklasyfikowanym jako groźny) wirusie W32/Mydoom@mm. Mydoom jest destruktywnym robakiem rozprzestrzeniającym się za pomocą poczty elektronicznej jako załącznik binarny pojawiający się jako tekstowy. O pojawieniu się tego zagrożenia laboratorium McAfee AVERT poinformowało na podstawie wykrycia tego wirusa w ponad 25 firmach oraz na terytoriach Azji, Kanady, Europy, Japonii, Ameryki Łacińskiej i Stanów Zjednoczonych.

Mydoom jest internetowym robakiem, który po aktywacji otwiera notatnik Windows i wypełnia go różnymi formatami czcionek zapisywanych bez żadnej logiki. Wirus próbuje rozsyłać się poprzez pocztę elektroniczną. Użytkownicy powinni natychmiast wykasować każdy e-mail zawierający następujące elementy:

Temat: (przypadkowy, nie tak charakterystyczny, jak to było w przypadku np. wirusa "I love you", przez co trudniejszy do identyfikacji)

Treść wiadomości elektronicznej: (różna)

Załączniki: bywają różne, ale są to często załączniki z rozszerzeniem exe, .PIF, .CMD lub .SCR oraz załączniki zzipowane o wadze 22,528 bitów.

Reklama

Po zainstalowaniu, Mydoom rozszyła się samoistnie jako załącznik wiadomości elektronicznej o następujących nazwach dokumentów: c:\Program Files\KaZaA\My Shared Folder\activation_crack.scr, c:\WINDOWS\Desktop\Document.scr oraz c:\WINDOWS\SYSTEM\taskmon.exe.

Plik wykorzystuje ikonę, dzięki której załącznik sprawia wrażenie pliku tekstowego. Ponadto wirus Mydoom wykorzystuje bibliotekę DLL, którą tworzy w katalogu systemu Windows (c:\WINDOWS\SYSTEM\shimgapi.dll). Następnie wirus tworzy w rejestrze systemowym wpis "TaskMon" = %SysDir%\taskmon.exe, uruchamiający zainfekowany plik, umieszczając go w kluczu HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\_CurrentVersion\Run. Mydoom otwiera również połączenie za pośrednictwem portu TCP nr 3127, co może wskazywać na funkcję zdalnego dostępu.

Informacje oraz opisy sposobów usunięcia tego wirusa można znaleźć on-line na stronie internetowej McAfee AVERT, Antywirusowej Grupy Szybkiego Reagowania firmy Network Associates, pod adresem http://vil.nai.com/vil/content/v_100983.htm.

INTERIA.PL
Dowiedz się więcej na temat: wirus
Reklama
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy