نحوه عملكرد ويروس MyDoom

به هيچ عنوان ايميل‌هاي مشكوكي كه داراي فايل ضميمه مي‌باشند را باز نكنيد. تعدادي از برنامه‌هايی  كه مي‌توانند اين كرم را از كامپيوتر شما حذف كنند در زير آمده است. 

Panda 1.3MB    -     McAfee 330KB    -    Webroot 385KB    -    Norton 148KB

MYDOOM از مرزهای مجازی ايران داخل شد

روز سه شنبه هفته گذشته نخستين آثار آلودگی به اين ويروس خطرخطر ناک در بخشهای مختلف کشور ما نيز مشاهده شد . پس از انتشار ويروس love gate  در دو سال گذشته هيچ ويروسی با اين درجه خطر منتشر نشده است .  ويروس MYDOOM به سرعت از طريق پيام الکترونيکی آلوده در سر تا سر جهان در حال انتشار است . به اين ويروس نام های ديگر از قبيل Mimail.R , No Varg و Shimg نيز اطلاق می شود .

شيوه انتشار : به صورت يک پيام الکترونيکی که حاوی مطالب فنی در باره برگشت پيام است ظاهر می شود و در آن وانمود می شود که فايل پيوست حاوی رونوشتی از پيام برگشت داده شده است . متاسفانه هيچ يک از قسمت های پيام آلوده نظير موضوع ، فرستنده محتوی ، نام فايل پيوست ثابت نيستند و فايل پيوست اين ويروس معمولا به صورت ZIP و به حجم ۲۲۵۲۸ بايت است . فايلهای آلوده به پسوندهای ديگری چون CMD ، BAT، EXE، Pif نيز مشاهده شده است .. اين ويروس برای فرار از دسترا پاک کنيد نرم افزارهای ضد ويروس خود را در فايلهای ZIP مخفی می کند . و بغير از پيام های الکترونيکی ، از طريق P2P مانند KaZaa نيز انتشار می يابد . اين ويروس برای ارسال پيام های آلوده ابتدا اقدام به جمع آوری نام های دامنه از داخل فايلها می كند كه روی كامپيوتر آلوده وجود دارند و سپس از طريق SMTP به صورت تصادفی برای ايميل سرورهای ديگر پيام آلوده را ارسال می کند . نکته زيرکانه ای که در مورد ويروس MYDOOM مشاهده می شود اين است که اين ويروس نشانی هايی را که مربوط به Yahoo ، N و مايکرو سافت يا چنين دامنه های مشهوری بوده است ناديده گرفته تا برای مدت بيشتری بتواند مخفی بماند. علايم آلودگی : يکی از علائم آلودگی به اين ويروس اجرای ناگهانی نرم افزار Notepad است که در اين حالت در صفحه Notpad کارکترهای نامفهومی ديده می شود . همچنين لازم به ذکر است که پورت ۳۱۲۷ از نوع tcp توسط ويروس گشوده شده و احتمالا منتظر دستوراتی ا وب سايت های مهاجم می ماند . اين اقدام باعث ترافيك بالای شبكه نيز می شود . روش پاكسازی : 1 _ در Task manager منویProcesses را انتخاب کرده و اجرای برنامه taskmon.EXE را متوقف کنيد . 2 _ فايل task MAN.EXE را حذف کنيد . اين فايل در شاخه windows\system32 است . 3 _ Registry را باز کرده و عبارت taskMON.EXE را از مسير زير حذف کنيد HKEY_LOCAL_MACHINE/software/microsoft/current version/Run 4 _ در task manager گزينه file و سپس Run را انتخاب کرده و EXPLORER.EXE را تایپ کنيد سپس کليد ENTER را بزنيد . ۵_ در task manager گزينه file و سپس Run را انتخاب کرده و EXPLORER.EXE را تایپ کنيد سپس کليد ENTER را بزنيد . ۶ - فايل SHIMGAPI.DLL را حذف کنيد . اين فايل در شاخه windows/system32 است . پس از طی اين مراحل سيستم را دوباره راه اندازی کنيد . برای از بين بردن اين ويروس می توانيد از ابزارهای Symantec استفاده كنيد: MyDoom Removal Tool چند لينک مرتبط با MyDoom : http://www.eeye.com/html/Research/Tools/MyDoom.html. http://www.microsoft.com/security/antivirus/mydoom.asp http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html