Mydoom: jak z nim walczyć?

W obliczu rozprzestrzeniającej się na cały świat epidemii robaka Mydoom, zdaniem ekspertów ds. bezpieczeństwa sieci, zarówno firmy, jak i zwykli użytkownicy mogą podjąć pewne kroki zapobiegawcze. Tymczasem już wiele korporacji zajmujących się tworzeniem oprogramowania antywirusowego udostępniło odpowiednie szczepionki, które pomogą poradzić sobie z kłopotliwym 'insektem'.

Pierwszą sugestią dla firm jest filtrowanie e-maili posiadających potencjalnie podejrzane tytuły, w których może się ukrywać Mydoom. Oto niektóre z takich tytułów: test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status, Error. Odrzucanie wiadomości o takich tytułach może oczywiście powodować również niebezpieczeństwo kasowania rzeczywistych e-maili, które przypadkowo otrzymały tytuł wykorzystywany przez Mydooma.

Niebezpieczeństwo w sieciach P2P

Inne wskazówki dotyczą zarówno tradycyjnych i najczęściej wykorzystywanych metod walki z tego typu insektami - aktualizacji oprogramowania antywirusowego na komputerach biurkowych oraz serwerach, jak też mniej konwencjonalnych sposobów. Chodzi tu między innymi o fakt, iż Mydoom rozprzestrzenia się również dzięki sieciom P2P i programom takim jak KaZaA. Eksperci zalecają zatem zadbanie o to, by żaden z pracowników nie korzystał z takiej aplikacji (notabene twórcy KaZaA Media Desktop - Sharman Networks, w odpowiedzi na atak MyDooma, udostępnili na swoich stronach najnowszą wersję aplikacji ze zaktualizowanym modułem antywirusowym BullGuard - więcej informacji: http://www.pcworld.pl/news/63219.html ). Tak jak i inne robaki, Mydoom może zostać przemycony pod postacią załącznika do wiadomości. Większość nowoczesnych klientów pocztowych posiada już opcję blokowania załączników, jednak warto pamiętać o tym, by nie uruchamiać podejrzanych plików od nieznanych adresatów.

Dodatkowym zagrożeniem ze strony robaka jest backdoor, który wyczekuje na komendy z sieci na kilku portach TCP, co w rezultacie może być wykorzystane przez hackera do przejęcia kontroli nad zainfekowanym komputerem i wykorzystanie go przykładowo do ataku na inne komputery. Symantec zaleca firmom w takiej sytuacji blokowanie wchodzącego ruchu na portach TCP od numeru 3200 do 4000.

SCO czeka na atak

Pojawiła się również niepotwierdzona hipoteza, iż robak instaluje w systemie tzw. 'keystroke loggera' - moduł, który odczytuje wprowadzane przez użytkownika znaki na klawiaturze (w tym między innymi hasła oraz numery kart kredytowych). Wyjątkowo zagrożona jest także witryna internetowa SCO Group (http://www.sco.com), na którą w okresie od 1 do 12 lutego przy pomocy zainfekowanych komputerów ma zostać przeprowadzony atak DoS (Denial of Service). SCO doświadczyło już w ubiegłym roku podobnych problemów i w odpowiedzi publikuje list gończy za autorem wirusa, oferując za jego ujęcie nagrodę 250 tysięcy USD (szerzej piszemy o tym artykule: "250 tysięcy USD za głowę autora Mydooma" - http://www.pcworld.pl/news/63215.html ). Mimo, iż końcowy termin działania robaka został wstępnie ustalony na 12 lutego, wielu ekspertów obawia się, iż doświadczymy na własnej skórze efektów jego działania jeszcze przez długi czas po tej dacie.

Szczepionki już gotowe

Tymczasem wiele firm zajmujących się tworzeniem oprogramowania antywirusowego udostępniło już odpowiednie szczepionki, które pomogą poradzić sobie z kłopotliwym 'insektem'. Są one już do pobrania z naszego serwera FTP:

CA Win32.Mydoom.A Removal Utility 1.0.1: http://www.pcworld.pl/ftp/pc/programy/2717/CA.Win32.Mydoom.A.Removal.Utility.1.0.1.html

Symantec W32.Novarg.A@mm Removal Tool 1.0: http://www.pcworld.pl/ftp/pc/programy/2718/Symantec.W32.Novarg.A.mm.Removal.Tool.1.0.html

F-Secure MyDoom.A Removal Tool: http://www.pcworld.pl/ftp/pc/programy/2719/F.Secure.MyDoom.A.Removal.Tool..html

Sophos System disinfection for W32/Mydoom-A 1.02: http://www.pcworld.pl/ftp/pc/programy/2720/Sophos.System.disinfection.for.W32.Mydoom.A.1.02.html

Panda QuickRemover W32.MyDoom.A 3.5.1.11: http://www.pcworld.pl/ftp/pc/programy/2721/Panda.QuickRemover.W32.MyDoom.A.3.5.1.11.html

McAfee AVERT Stinger 1.9.8: http://www.pcworld.pl/ftp/pc/programy/2722/McAfee.AVERT.Stinger.1.9.8.html


Zobacz również