Что собой представляет вирус “MyDoom” и как защитить от него ваш компьютер

Помните вирусы «Sobig» прошлого года, которые вызвали хаос и причинили значительный финансовый ущерб корпоративному миру? Первый серьезный вирус этого года легко может превзойти атаки этих вирусов.

Что это за вирус?

Новый вирус, который фактически является более опасным вариантом вируса «Mimail», назван “MyDoom” компанией, производящей антивирусное ПО Network Associates, и "Novarg" ее конкурентом корпорацией Symanteс.

Вирус, впервые обнаруженный около четырех часов пополудни 26 января 2004 года, немедленно создал почтовую бурю в Интернете. По данным экспертов вирус “MyDoom” в состоянии создать до восьми миллионов зараженных писем электронной почты в первые 24 часа, если его не замедлить. Это в два раза больше, чем количество, созданное вирусом «Sobig.F», который в прошлом году на пике своей активности, который пришелся на третий день, создал около трех с половиной миллионов писем.

В течение одного часа первой атаки сама компания Network Associates получила 19500 писем электронной почты, содержащих вирус, от 3400 уникальных интернет-адресов.

Как он работает?

“MyDoom” распространяется так же, как любой другой почтовый вирус. Ничего не подозревающий пользователь после получения зараженного письма активирует вирус, открывая прикрепленный файл. Как и раньше вирус проникает только на компьютеры, работающие под системой Windows. Прикрепленный файл может иметь любое из следующих расширений: ".exe," ".scr," ".cmd" или ".pif".

Произвольная тема зараженного сообщения может иметь среди прочих следующие тексты: Mail Delivery system, Test, Server report, Hello, и др.

В теле письма содержится один из следующих текстов: "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment", "The message contains Unicode characters and has been sent as a binary attachment" и "Mail transaction failed. Partial message is available". Идея заключается в том, чтобы заставить пользователей открыть прикрепленный файл. Открытое вложение выглядит как простой текстовый файл программы Notepad, о котором большинство людей думает, что он безопасен и не способен переносить вирусы.

Как только компьютер заражается вирусом “MyDoom”, вирус вместе с встроенной программой-троянцем делает следующее:

Вирус пересылает себя, используя встроенную почтовую программу, по адресам электронной почты из адресной книги зараженного компьютера. Он способен выслать 100 зараженных e-mail сообщений за 30 секунд по адресам, хранящимся на компьютере. Он также заимствует адрес отправителя, показывая один из адресов электронной почты, произвольно выбранный из адресной книги компьютера. Поэтому кажется, что вирус был получен не от того человека, чей компьютер фактически отправил зараженное письмо.

Вирус также копирует себя в общую папку зараженного компьютера, на который загружена программа обмена файлами «Kazaa». Вирус маскируется, используя одно из семи названий, среди которых Winamp5, RootkitXP, Officecrack и Nuke2004. «Kazaa» - это программа обмена файлами, широко используемая подростками для обмена музыкой.

“MyDoom” также использует доменные имена адресов электронной почты, которые он обнаруживает на зараженном компьютере, для создания многочисленных адресов электронной почты с целью самораспространения. Данная тактика обычно используется спамерами и называется “Словарная атака”.

Некоторые эксперты утверждают, что этот вирус также оставляет файл на зараженных компьютерах, собирающий секретные данные, такие как пароли, имена пользователей и информацию о кредитных картах.

Зараженные письма также запрограммированы на DoS-атаки компании SCO, софтверной компании, которая утверждает, что важные компоненты операционной системы с открытым исходным кодом Linux нарушают ее авторские права на Unix. DoS-атака – это попытка «положить» сервер при помощи многочисленных электронных сообщений, исходящих от разных компьютеров, направленных на один или несколько адресов электронной почты данного сервера. Это в свою очередь загромождает линию и фактически парализует всю почтовую систему компании, вынуждая или отключить сервер или изменить доменное имя.

И, наконец, вирус также открывает коммуникационные порты зараженного компьютера, давая возможность взломщику удаленно управлять машиной.

Неплохо для одного вируса, не так ли?

Что делать?

Если вы предпримите следующие шаги, ваш компьютер будет практически обезопасен от атак любых подобных вирусов:

• Приобретите антивирусную программу и установите ее на ваш компьютер; • Регулярно обновляйте вашу антивирусную программу; • Приобретите брандмауэр и установите его. Качественный бесплатный брандмауэр, который вы можете загрузить и установить, - это Zonealarm. Вы можете загрузить его с адреса ht- tp://www.zonelabs.com/store/content/home.jsp • Регулярно скачивайте программы-«заплатки» для вашей версии Windows и обновляйте ее; • Используйте фильтры электронной почты типа Eprompter. Он дает вам возможность удалять нежелательный спам или подозрительные письма, которые могут содержать вирусы. Скачайте его бесплатно с адреса http://www.eprompter.com • Регулярно проверяйте ваш компьютер на наличие вирусов. Хороший бесплатный инструмент, который удаленно сканирует ваш компьютер, проверяя наличие вирусов и уничтожая их, вы можете найти по адресу http://housecall.trendmicro.com/housecall/start_corp.asp

Без сомнения Microsoft придется проделать много работы, чтобы защитить нас от непрекращающихся посягательств вирусов. Однако пока это не произойдет, пользователям Windows придется быть более бдительными и делать все возможное, чтобы защитить свои компьютеры.

Об авторе:

Наошад Кабир - основатель и президент российского B2B портала Rusbiz.com (http://www.rusbiz.com). Он является автором множества статей по электронной коммерции. Вы можете прочесть и подписаться на них по адресу: http://ezine.rusbiz.com

Опубликовано: 29 января 2004 г.

Ключевые слова: нет

Извините, комментариев пока нет