VIRUS!!VIRUS!!VIRUS
Za tiste, ki ga še ne poznajo, pa že nekaj dni razsaja po svetu.
Črv Mydoom
Vzdevki: Shimgapi, Novarg, W32/Mydoom.A@mm
Dolžina: 22528 bajtov
Povzetek
Mydoom je črv, ki se širi preko elektronske pošte in omrežja Kazaa. Ob zagonu odpre program Notepad, ki prikaže naključne znake. Od 1. februarja dalje napada spletni strežnik SCO.COM.
Črv odpre tudi stranska vrata. To naredi tako, da v imenik system32 skopira datoteko SHIMGAPI.DLL in jo požene kot podproces procesa EXPLORER.EXE.
Mydoom se bo prenehal širiti 12. februarja.
28. januarja popoldne se je pojavila verzija Mydoom.b.
Odstranjevanje
Podjetje F-Secure je pripravilo orodje, s katerim se lahko zazna in odstrani črva Mydoom. Na voljo je kot ZIP datoteka:
ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.zip
http://www.f-secure.com/tools/f-mydoom.zip
Razpakirana verzija:
ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.exe
http://www.f-secure.com/tools/f-mydoom.exe
ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.txt
http://www.f-secure.com/tools/f-mydoom.txt
Odstranjevanje se lahko sproži tudi na daljavo s pomočjo orodja F-Secure Policy Manager. JAR datoteka je na voljo na:
http://www.f-secure.com/tools/f-mydoom.jar
Podroben opis
Črv je stisnjen s programom UPX in ima besedila v svoji kodi kriptirana z uporabo metode ROT13. Ob zagonu kreira mutex “SwebSipcSmtxSO” s katerim zagotovi, da se požene samo enkrat hkrati.
Ob zagonu odpre Notepad z naključnimi znaki:
Črv se skopira v sistemski imenik okolja Windows kot ‘taskmon.exe’ in doda vnos v register.
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
“TaskMon” = %sysdir%\taskmon.exe
če mu to ne uspe, doda:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
“TaskMon” = %sysdir%\taskmon.exe
S tem doseže, da se sproži ob vsakem zagonu računalnika.
Poleg tega skopira dodatno datoteko v:
%sysdir%\shimgapi.dll
Ta datoteka odpre TCP vrata od 3127 do 3198 in na njih čaka na povezave. Preko njih lahko naprimer sprejema ukaze za prenos in zagon dodatnih programov na okuženem računalniku.
Širjenje v omrežju Kazaa
Črv v register pogleda, kateri imenik je v skupni rabi programa Kazaa in se vanj skopira pod imenom, sestavljenim iz besed:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Podaljški pa so:
.bat
.exe
.scr
.pif
Razpošiljanje po elektronski pošti
Črv nabere naslove, na katere se razpošilja, iz adresarja (Windows Address Book) ter datotek s podaljški:
pl
adb
tbb
dbx
asp
php
sht
htm
txt
Zazna tudi nekatere enostavne oblike prikrivanja naslovov, naprimer ” at ” nadomesti z znakom “@”.
Poslana sporočila imajo naslednje značilnosti:
Zadeva je lahko:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Vsebina je lahko:
test
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
The message contains Unicode characters and has been sent
as a binary attachment.
Mail transaction failed. Partial message is available.
Pripone so sestavljene iz besed:
document
readme
doc
text
file
data
test
message
body
s podaljški:
pif
scr
exe
cmd
bat
zip
Primer okuženega sporočila:
Napadanje
Ob vklopu računalnika po 1. februarju črv prične vsako sekundo pošiljati zahteve na spletni strežnik SCO.COM. Zahteva vsebuje samo “GET / HTTP/1.1”. Cilj črva je, da bi z ogromno količino zahtev onemogočil delovanje spletnega strežnika podjetja SCO.
Stranska vrata
Datoteko ‘shimgapi.dll’ črv doda v register pod:
[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32]
To povzroči, da Explorer vedno naloži ta DLL in le-ta ni viden kot samostojen proces.
Zaznavanje
F-Secure Anti-Virus črva zazna s podatki:
[FSAV_Database_Version]
Version= 2004-01-27_01
Blokiranje črva na poštnem strežniku brez pregledovanja
Sporočila se lahko blokira na poštnem strežniku tudi brez pregledovanja. Potrebno je samo preveriti, če telo sporočila (body) vsebuje zaporedje:
‘^UEsDBAoAAAAAA.{6}zy5egAlgAAAJYAA’
‘^UEsDBAoAAAAAA.{6}KJx\+eAFgAAABYAA’
Nekateri programi ne potrebujejo znaka \ pred znakom ‘+’. Če sporočilo vsebuje zgornje zaporedje, se ga lahko zavrne (vsebuje ZIP verzijo).
Za zaznavanje EXE verzije je potrebno iskati vrstice:
‘QWRuwhLeZHJyFsetbllrtEilOBwrJ8OYMXsTGWAEvKwwhG6qzQlpQXePs2GNRklxNWtlZBN2agul’
‘YxILFUnSmWGSblIi5FUzNsGwsPXUQpMmSx2FFJx5orXascf4NmeMS2V5DE9wTd069+gLRSQOOlaN’
‘dWVhBwCGDyQRCTN3KaZ1bTAMr63ZbLM/ZMIIAW2j7rQ1zHNlomp3QxDz2N8MAwdpc2RpZ2kZdXBw’
‘c83NthF4EglmWwg4zVb4c3BhS0/NLFjA/nubVS9CdWZmQQ8LZ9qOPExvd3d2OXK2I1GYbdh3CkfY’
jaz nobene od teh pošt nisem odpirala, razen ene, ki je od enga mojga prjatla, in sem dobila virus…., ki pa je prebil zaščito celotne firme…kar frka, ja; ampak sedaj je strav že rešena.
Sucker!
Fenomenalno… ravno s tem mam probleme – so mi dans poslali od nekje mail, da to pošiljam okoli… Zdej samo vprašanje, če jest lahk kej naredim, glede na to, da mam web-based mail, pa če sploh mam na rač. ta virus (al je problem maila).
Me ne moreš nič naredit, saj sploh nisi ti kriv, tvoj mail naslov se samodejno uporablja….
vsekakor pa preglej svoj PC s tem programčkom.
To nič ne pomeni, da si okužen. Verjetno je okužen nek računalnik, pri katerem je virus našel tvoj e-mail naslov in ga prilepil potem kot pošiljatelja. Zato pa ti zdaj dobivaš opozorila.
boli me ***** za ta virus, bo že antivirusni poskrbel za njega.
Forum je zaprt za komentiranje.