Mydoom atakuje!

W Sieci pojawił się nowy, niezwykle aktywny robak pocztowy - Mydoom (określany również jako Novarg). "Insekt" atakuje komputery pracujące pod kontrolą systemów z rodziny Windows (95 i późniejsze), jednak, w odróżnieniu od wielu innych robaków, nie wykorzystuje do tego celu żadnego błędu w systemie - aby uaktywnił się Mydoom, użytkownik musi go uruchomić. Wczoraj robak zaatakował na Dalekim Wschodzie, zaś dziś od rana "szaleje" w Europie.

Mydoom pojawia się w komputerze w postaci załącznika do wiadomości e-mail, skonstruowanej według następującego wzoru:

Temat:

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

Treść wiadomości:

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Nazwa załącznika

document

readme

doc

text

file

data

test

message

body

Rozszerzenie załącznika

.pif

.scr

.exe

.cmd

.bat

.zip

Z podanych wyżej komponentów, robak generuje losowo wiadomość pocztową. Niezależnie od rozszerzenia pliku, w większości przypadków załącznik będzie miał ikonkę pliku tekstowego (ewentualnie ukrytą w archiwum .zip).

Według producentów oprogramowania antywirusowego, Mydoom nie ma żadnej procedury destrukcyjnej - tzn. nie potrafi np. kasować plików. Jego działanie polega przede wszystkim na masowym rozprzestrzenianiu się za pośrednictwem poczty elektronicznej - na tyle masowym, że robak może poważnie zakłócić pracę wielu firm. Niewykluczone jednak, że insekt ma jakieś ukryte funkcje - eksperci zauważyli, że po zainfekowaniu komputera otwiera on port 3127, co może sugerować, że Mydoom może posłużyć np. hakerowi do uzyskania nieautoryzowanego dostępu do systemu. W pięciostopniowej "skali zagrożenia" firmy Symantec robaka oceniono na "4".

"Pierwsze kopie Mydoom zauważyliśmy dziś rano - od tego momentu nasz system zarejestrował już kilkaset zainfekowanych e-maili, dostaliśmy również kilkanaście zgłoszeń od użytkowników" powiedział nam jeden z pracowników Działu Wsparcia Technicznego firmy MKS. Mydoom rozprzestrzenia się głównie dzięki nieostrożności użytkowników, którzy bez namysłu uruchamiają pliki załączone do otrzymanych wiadomości - dlatego zalecamy daleko idącą ostrożność" dodał przedstawiciel MKS.

Według niektórych ekspertów, po zainfekowaniu komputera Mydoom może również przeprowadzić atak typu DoS (Denial of Service) na serwer firmy SCO (która wzbudziła kontrowersje w środowisku open source, żądając opłat licencyjnych za korzystanie z systemu Linux). Robak tworzy również na dysku kilka swoich kopii - zapisuje je w folderze udostępnionym użytkownikom programu KaZaA pod nazwami:

winamp5

icq2004-final

activation_crack

strip-girl-2.0bdcom_patches

rootkitXP

office_crack

nuke2004

Większość producentów oprogramowania antywirusowego już udostępniła uaktualnienia, usuwające robaka - inni zapowiadają, że nastąpi to wkrótce. Wszystkie firmy zgodnie zalecają użytkownikom, by pod żadnym pozorem nie uruchamiali plików załączonych do wiadomości odpowiadającej podanemu wyżej opisowi.

<b>Programy usuwające wirusa i pozostałości po nim z zakażonych komputerów można pobrać z naszego serwisu FTP pod adresem:

Produkt Computer Associates International, Inc.:</b>

http://www.pcworld.pl/ftp/pc/programy/2717/Win32.Mydoom.A.Removal.Utility.1.0.1.html

<b>Produkt Symanteca:</b>

http://www.pcworld.pl/ftp/pc/programy/2718/W32.Novarg.A.mm.Removal.Tool.1.0.html


Zobacz również