Mydoom: sprawdź czy nie jesteś zombie!

Zgodnie z przewidywaniami, w niedzielę - 1 lutego, witryna internetowa SCO padła ofiarą ataku DDoS robaka Mydoom. Niedługo później, we wtorek - 3 lutego, insekt przypuści kolejny atak, tym razem skierowany przeciwko witrynie internetowej korporacji Microsoft. Warto upewnić się zatem, czy nasz komputer nie został zainfekowany przez Mydooma i nie posłuży jako 'maszyna zombie' w tym ataku.

Wraz ze zbliżającą się datą przewidywanego ataku na witryny internetowe SCO oraz Microsoftu, zapewne wielu użytkowników zastanawia się, czy ich komputery nie staną się 'bezwolnymi żołnierzami' w tej bitwie. Mają powody do obaw, ponieważ obydwie wersje robaka zawierają w sobie dodatkowe pliki (tzw. backdoory), które instalowane w systemie operacyjnym mogą wykorzystać zainfekowany komputer do ataku DDoS. Procedura wykrycia obecności w komputerze robaka Mydoom rozpoczyna się zatem od zlokalizowania tych plików. W zależności od wersji insekta noszą one nazwy: shimgapi.dll - dla Mydoom.A oraz ctfmon.dll dla Mydoom.B.

Detekcja Mydooma w sytemie Windows XP

1. Wciskamy Start, a następnie Search

2. Zaznaczamy wszystkie pliki oraz katalogi do przeszukiwania poprzez opcję All Files and Folders

3. W polu All or part of the file name, wpisujemy ctfmon.dll lub shimgapi.dll. Jeśli żaden z tych plików nie zostanie w systemie znaleziony, jesteśmy bezpieczni. Jeśli zaś zostanie on zlokalizowany oznacza to, iż komputer zainfekowany jest przez robaka Mydoom.

Detekcja Mydooma w systemie Windows 2000 oraz NT 4.0

1. Wciskamy Start, a następnie Run

2. Wpisujemy w polu Open polecenie cmd i wciskamy OK.

3. Pojawi się czarne okno ze znakiem zachęty C:\...>

4. Wpisujemy polecenie cd \ i wciskamy ENTER.

5. Wpisujemy dir ctfmon.dll /a /s lub dir shimgapi.dll /a /s i wciskamy ENTER. W przypadku otrzymania komunikatu File Not Found (pliku nie znaleziono) możemy być spokojni, iż żadna odmiana Mydooma nie rezyduje w naszym komputerze. Jeśli jednak któryś z tych plików zostanie znaleziony, pojawi się komunikat File Found wraz z informacjami o ilości oraz rozmiarach znalezionych plików.

Detekcja Mydooma w systemie Windows 95, 98 oraz ME

1. Wciskamy Start, a następnie Run

2. Wpisujemy w polu Open polecenie command i wciskamy OK.

3. Pojawi się czarne okno ze znakiem zachęty C:\...>

4. Wpisujemy polecenie cd \ i wciskamy ENTER.

5. Wpisujemy dir ctfmon.dll /a /s lub dir shimgapi.dll /a /s i wciskamy ENTER. W przypadku otrzymania komunikatu File Not Found (pliku nie znaleziono) możemy być spokojni, iż żadna z obu odmian Mydooma nie rezyduje w naszym komputerze. Jeśli jednak któryś z tych plików zostanie znaleziony, pojawi się komunikat File Found wraz z informacjami o ilości oraz rozmiarach znalezionych plików.

O ile w przypadku Mydooma.A procedura usunięcia nie nastręczy problemów (wystarczy wyposażyć się w szczepionki przygotowane przez producentów oprogramowania antywirusowego), sprawa komplikuje się w przypadku zainfekowania drugą odmianą robaka - Mydoomem.B. Modyfikuje on bowiem w systemie operacyjnym plik o nazwie hosts, uniemożliwiając tym samym połączenie się z witrynami internetowymi producentów oprogramowania antywirusowego, w celu pobrania odpowiedniej szczepionki. Co zrobić w takiej sytuacji?

Przywrócenie połączenia ze stronami producentów oprogramowania antywirusowego w systemie Windows 95, 98 oraz ME

1. Wciskamy Start, a następnie Run

2. Wpisujemy w polu Open polecenie command i wciskamy OK

3. Pojawi się czarne okno ze znakiem zachęty C:\...>

4. Wpisujemy polecenie cd \ i wciskamy ENTER.

5. Wpisujemy polecenie del c:\windows\hosts i wciskamy ENTER.

Przywrócenie połączenia ze stronami producentów oprogramowania antywirusowego w systemie Windows NT 4.0, 2000 oraz XP

1. Wciskamy Start, a następnie Run

2. Wpisujemy w polu Open polecenie cmd i wciskamy OK

3. Pojawi się czarne okno ze znakiem zachęty C:\...>

4. Wpisujemy polecenie cd \ i wciskamy ENTER.

5. Wpisujemy następujące komendy:

del /F %systemroot%\system32\drivers\etc\hosts

i naciskamy ENTER

echo # Temporary HOSTS file >%systemroot%\system32\drivers\etc\hosts

i naciskamy ENTER

attrib +R %systemroot%\system32\drivers\etc\hosts

i naciskamy ENTER

Po wpisaniu powyższych komend w przypadku posiadania systemu Windows NT 4.0 należy zrestartować komputer. Jeśli na komputerze zainstalowany jest system operacyjny Windows XP lub Windows 2000, zamiast restartowania musimy wpisać jeszcze jedno polecenie: ipconfig /flushdns i zatwierdzić przyciskając ENTER.

Ostatnia aktualizacja: 2 lutego, godzina 10:30


Zobacz również