восстановление данных информации жестких дисков raid массивов флешек карт памяти
Как мы работаем Доступные цены Дистанционное обслуживание Библиотеки программ Ответы на вопросы Форум Проезд, контакты
Признаки заражения компьютера Признаки заражения вирусом
Удаление вируса LoveSan вручную Удаление вируса вручную
Хроника активности вируса MyDoom тестирует антивирусы

Ремонт HDD, восстановление информации данных с неисправных жестких дисков Ремонт HDD, восстановление информации данных с неисправных жестких дисков
Восстановление жестких дисков по интернет Восстановление информации данных на жестких дисках, hdd, fat и ntfs
Восстановление файлов doc, xls, mdb и ppt Восстановление поврежденных файлов excel, word, access и powerpoint
Восстановление данных жестких дисков, raid массивов, флешек и карт памяти. Восстановление данных жестких дисков, raid массивов, флешек и карт памяти.

Очередная напасть - вирус MyDoom/Novarg и т.д.

Службы мониторинга всех антивирусных фирм сообщают о быстром распространении нового червя массовой рассылки MyDoom. Различные антивирусы его называют по разному - Win32.HLLM.MyDoom.32768 [DrWeb], I-Worm.Novarg [Kaspersky], W32.Novarg.A@mm [Norton AntiVirus], Win32/Mydoom.A [Eset NOD32], WORM_MIMAIL.R [Trend Micro], Mydoom.A.worm [Panda AntiVirus].
Основным виновниками распространения этого вируса являются Пользователи, так этот вирус может распространяться при активном их участии. Для заражения этим вирусом Пользователь должен собственными руками разархивировать и запустить файл, вложенный в полученное по интернет письмо.
Психологически, этот вирус использует тоже прием, что и недавно бушевавший на просторах киберпространства вирус Sobig.F (Reteras). Остается только поражаться беспечностью Пользователей.

Компания SCO Group объявила о назначении вознаграждения в 250 000 американских долларов тому, кто поможет вычислить и осудить автора червя. Причина такой щедрости в том, что MyDoom фактически направлен против этой компании, которая недавно предприняла попытки прилечь к суду ряд крупных компаний, которые, по ее мнению, нарушили ее авторские права на часть кодов, которые включены в ОС Linux. 1 февраля, в воскресенье, серверы компании будут подвергнуты массированной DoS-атаке со всех компьютеров, которые будут еще на этот момент заражены червем. Вряд ли это количество будет таким уж большим - все-таки автор червя не был столь уж безжалостен к SCO Group, которая покусилась на самое святое для всего свободного компьютерного мира - открытые коды, и не стал начинать атаку на следующий день после начала распространения червя. Вряд ли, впрочем, это обеспечит ему снисхождение властей в случае поимки.

Текст письма состоит из нескольких достаточно неброских слов, которые, тем не менее, побуждают многих пользователей открывать вложенный исполняемый файл:

Элемент письма Перечень возможных значений
Адрес получателя Червь ищет файлы *.TXT, *.HTM, *.HTM, *.DBX, *.WAB, *.ADB, *.TBB, *.ASP, *.PHP, *.SHT во всех каталогах на доступных локальных дисках, выделяет из них строки, являющиеся адресами электронной почты, и рассылает по этим адресами заражённые письма. По найденным (сгенерированным) адресам производится рассылка вируса.
Адрес отправителя Фальсифицируется, в него вставляется какой-либо электронный адрес, обнаруженный на зараженном компьютере.
Поэтому не удивляйтесь, если Ваш компьютер вирусом не заражен, а Ваши друзья или различные почтовые системы сообщают Вам, что они получили от Вас вирусы.
Заголовок Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi
Текст Тело сообщения: случайное, например:
  • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
  • The message contains Unicode characters and has been sent as a binary attachment.
  • Mail transaction failed. Partial message is available.
Прикрепленный файл различные [.bat, .exe, .pif, .cmd, .scr]; часто приходит в ZIP-архиве (22,528 байт)
  • вариации (общеизвестные имена, но может быть случайным)
  • doc.bat
  • document.zip
  • message.zip
  • readme.zip
  • text.pif
  • hello.cmd
  • body.scr
  • test.htm.pif
  • data.txt.exe
  • ile.scr
Иконка, используемая файлом-вложением, может маскировать его под обычный текстовый файл.

Признаки заражения компьютера

Назад на оглавление страницы

Когда файл запускается, он копирует себя в системный каталог WINDOWS %SysDir%\taskmon.exe, где %Sysdir% системный каталог Windows, например C:\WINDOWS\SYSTEM. В реестре создается следующая запись для автоматического запуска файла в момент старта Windows:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe

    • Вирус использует DLL, которую он создает в системном каталоге Windows:

  • %SysDir%\shimgapi.dll

    • Эта DLL (длиной 4,096 байт) подключается к проводнику после перезагрузки компьютера. Для этого используется следующий ключ реестра:

  • HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll

    • Удаление вируса вручную

    Назад на оглавление страницы

    Для физического удаления вируса надо скорректировать системный реестр, удалив ключи автоматического запуска, перечисленные выше, и уничтожить тела вируса taskmon.exe и shimgapi.dll в системном каталоге.


    Copyright 1991-2012 Лаборатория FomSoft - восстановление данных, антивирусы Дата изменений - 14.I.2012