Sot është zbuluar një virus i ri që ka filluar të qarkullojë në internet nëpërmjet emaileve. Virusi ka marrë emrin MyDoom nga McAfee ndërsa Symantec e quan Novarg.
Shpërndarja
Virusi shpërndahet nëpërmjet skedarëve të bashkëngjitur në email. Emaili i dërguar nga virusi mund të ketë këta tituj:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Mesazhi mund të jetë:
- Mail transaction failed. Partial message is available.
- The message contains Unicode characters and has been sent as a binary attachment.
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Skedari i bashkëngjitur mund të ketë ketë emër:
document
readme
doc
text
file
data
test
message
body
prapashtesa mund të jetë:
.pif
.scr
.exe
.cmd
.bat
.zip
dhe madhesia e skedarit eshte 22.258 bytes.
Mbrojtja
Nqs shikoni mesazhe të tilla mos e hapni skedarin e bashkëngjitur dhe fshijeni mesazhin menjehere nga kutia e emailit. Nqs e keni hapur një mesazh të tillë ka mundësi që kompjuter të jetë infektuar nga ky virus dhe mund te përdorni këtë skedar nga faqja e symantec për ta hequr.
http://securityresponse.symantec.com...r/FxNovarg.exe
Rruajeni në kompjuter, dhe hapeni që të fillojë pastrimi. Lëreni të bëjë pastrimin dhe pastaj rifilloni kompjuterin.
Gjithashtu freskoni sa më shpejt programet antiviruse dhe filloni kontrollin e kompjuterit nqs mendoni se keni hapur një nga skedarët e përmëndur më lart.
Dëmtimi
Virusi krijon këta skedarë:
- "Shimgapi.dll" në dosjen e sistemit (zakonisht c:\windows\system ose ...\system32)
- "Message" në dosjen e skedarëve të përkohshme ( zakonisht c:\windows\temp ose c:\documents and settings\emri_i_llogarise)
- "Taskmon.exe" në dosjen c:\windows\system ose c:\windows\system32
Shimgapi.dll hap portat 3127 deri 3198 dhe lejon një person tjetër të ketë akses në kompjuterin e infektuar.
Message.txt përmban shkronja të përziera dhe mund të hapet me notepad.
Taskmon.exe është një skedar i rregullt i windowsit por ndodhet në dosjen C:\windows\ ndërsa virusi e instalon në dosjen C:\windows\system(32).
Gjithashtu virusi modifikon rregjistrin që të hapë virusin menjëherë sapo të hapet windowsi.
Virusi fillon kontrollin e skedarëve me prapashtesa .htm .sht .php .asp .dbx .tbb .adb .pl .wab .txt
dhe mundohet të gjëjë sa më shumë adresa emaili duke përjashtuar ato që përfundojnë me .edu si emaili_im@shkolla.edu
Si përfundim virusi mundohet të shpërndahet edhe nëpërmjet Kazaa duke hedhur këta skedarë C:\program files\kazaa\my shared folder\
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Shpërndarja e virusit është programuar të ndalojë në datën 12 shkurt. Nga data 1 shkurt, virusi fillon të sulmojë faqen www.sco.com e cila i përket një grupi që ka hedhur në gjyq IBM për përdorimin e paligjshëm të kodit të unix në linux. Siç dihet Linux është falas dhe është e qartë që personi që ka krijuar këtë virus nuk ështe i kënaqur me SCO që kërkon të nxjerrë fitim.
Çuditërisht virusi nuk dërgon emaile në sërvërat që përmbajnë
avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla
Nuk dërgon email tek adresat:
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page
dhe nuk dërgon emaile tek adresat që përmbajnë një nga këto fjalë:
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
accoun
Ndryshe nga virusët e tjerë, është e qartë që personi nuk ka dashur të sulmojë microsoft dhe nuk shfrytëzon difektet e windowsit. I gjithë qëllimi është mbyllja e faqes www.sco.com.
Faqja tani është mbyllur por ka ofruar $250.000 dollare si shpërblim për kapjen e autorit. Këtë gjë e bëri edhe Microsoft vitin që shkoi për kapjen e autorëve të Sobig dhe Blaster.
Materiali më lart është përshtatur në Shqip nga faqja e Symantec.
http://securityresponse.symantec.com...varg.a@mm.html
Krijoni Kontakt