de recuperare de informații

Serviciul de monitorizare a tuturor firmelor anti-virus sunt de raportare răspândirea rapidă a unei noi corespondență în masă vierme MyDoom. Diverse anti-virus a numit diferit - Win32.HLLM.MyDoom.32768 [DrWeb], I-Worm.Novarg [Kaspersky], W32.Novarg.A@mm [Norton AntiVirus], Win32 / Mydoom.A [Eset NOD32], WORM_MIMAIL .R [Trend Micro], Mydoom.A.worm [Panda Antivirus].
Principalii vinovați de răspândirea virusului sunt utilizatori. astfel încât virusul se poate transmite prin implicarea lor activă. Pentru infecția cu virusul utilizatorul trebuie să dețină mâini pentru a dezarhiva și rulați fișierul atașat la e-mail primit de pe Internet.
Psihologic, virusul foloseste aceeasi tehnica dezlănțuite recent in virusul Sobig.F vast spatiul virtual (Reteras). Se poate minuna doar utilizatorii neglijent.

Textul scrisorii este format din mai multe cuvinte destul de discret, care, cu toate acestea, mulți utilizatori au încurajat să deschidă un fișier executabil atașat:

Lista de valori posibile

eroare
stare
Raport Server
Mail tranzacției a eșuat
Sistemul Mail Delivery
alo
hi

Mesaj Corp: aleatoare, de exemplu:
  • Mesajul nu poate fi reprezentat în codificare ASCII pe 7 biți și a fost trimis ca un atașament binar.
  • Mesajul conține caractere Unicode și a fost trimis ca un atașament binar.
  • Mail transaction nu a reușit. Mesajul parțial este disponibil.
Diverse [.bat. exe. pif. cmd. scr]; de multe ori vine în ZIP-arhivă (22.528 byte)
  • variații (nume bine-cunoscute, dar poate fi aleatoare)
  • doc.bat
  • document.zip
  • message.zip
  • readme.zip
  • text.pif
  • hello.cmd
  • body.scr
  • test.htm.pif
  • data.txt.exe
  • ile.scr
Pictogramele utilizate de către un fișier-atașament poate masca sub un fișier text simplu.

Semne de infecție

Când fișierul este rulat, acesta copiaza in directorul de sistem WINDOWS% SYSDIR% \ taskmon.exe. în cazul în care%% directorul de sistem pentru Windows sysdir, de exemplu, C: \ WINDOWS \ SYSTEM. În registru, creați următoarea intrare pentru a rula în mod automat fișierele atunci când Windows pornește:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run "TaskMon" =% SYSDIR% \ taskmon.exe


Virusul foloseste un DLL, care creează în directorul de sistem Windows:


Acest DLL (lungime 4.096 bytes) este conectat la conductorul după ce computerul este repornit. Pentru a face acest lucru, utilizați următoarea cheie de registry:

HKEY_CLASSES_ROOT \ CLSID \\ InProcServer32 "(implicit)" =% SYSDIR% \ shimgapi.dll

Eliminarea virusului manual

Pentru a elimina fizic virusul este necesar să se adapteze registrul de sistem prin ștergerea cheilor de pornire automate enumerate mai sus, și să distrugă corpul virusului și shimgapi.dll taskmon.exe în directorul de sistem.

Laborator Fomsoft - Serviciu de recuperare de date de la distanță și fotografii cu propriile mâini.