Mydoom - Virus i ri në kutitë e e-mailit

[edspace]

Sot është zbuluar një virus i ri që ka filluar të qarkullojë në internet nëpërmjet emaileve. Virusi ka marrë emrin MyDoom nga McAfee ndërsa Symantec e quan Novarg.

Shpërndarja
Virusi shpërndahet nëpërmjet skedarëve të bashkëngjitur në email. Emaili i dërguar nga virusi mund të ketë këta tituj:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Mesazhi mund të jetë:
- Mail transaction failed. Partial message is available.
- The message contains Unicode characters and has been sent as a binary attachment.
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Skedari i bashkëngjitur mund të ketë ketë emër:
document
readme
doc
text
file
data
test
message
body

prapashtesa mund të jetë:
.pif
.scr
.exe
.cmd
.bat
.zip

dhe madhesia e skedarit eshte 22.258 bytes.

Mbrojtja
Nqs shikoni mesazhe të tilla mos e hapni skedarin e bashkëngjitur dhe fshijeni mesazhin menjehere nga kutia e emailit. Nqs e keni hapur një mesazh të tillë ka mundësi që kompjuter të jetë infektuar nga ky virus dhe mund te përdorni këtë skedar nga faqja e symantec për ta hequr.
http://securityresponse.symantec.com...r/FxNovarg.exe
Rruajeni në kompjuter, dhe hapeni që të fillojë pastrimi. Lëreni të bëjë pastrimin dhe pastaj rifilloni kompjuterin.

Gjithashtu freskoni sa më shpejt programet antiviruse dhe filloni kontrollin e kompjuterit nqs mendoni se keni hapur një nga skedarët e përmëndur më lart.

Dëmtimi

Virusi krijon këta skedarë:
- "Shimgapi.dll" në dosjen e sistemit (zakonisht c:\windows\system ose ...\system32)
- "Message" në dosjen e skedarëve të përkohshme ( zakonisht c:\windows\temp ose c:\documents and settings\emri_i_llogarise)
- "Taskmon.exe" në dosjen c:\windows\system ose c:\windows\system32

Shimgapi.dll hap portat 3127 deri 3198 dhe lejon një person tjetër të ketë akses në kompjuterin e infektuar.

Message.txt përmban shkronja të përziera dhe mund të hapet me notepad.

Taskmon.exe është një skedar i rregullt i windowsit por ndodhet në dosjen C:\windows\ ndërsa virusi e instalon në dosjen C:\windows\system(32).

Gjithashtu virusi modifikon rregjistrin që të hapë virusin menjëherë sapo të hapet windowsi.

Virusi fillon kontrollin e skedarëve me prapashtesa .htm .sht .php .asp .dbx .tbb .adb .pl .wab .txt
dhe mundohet të gjëjë sa më shumë adresa emaili duke përjashtuar ato që përfundojnë me .edu si emaili_im@shkolla.edu

Si përfundim virusi mundohet të shpërndahet edhe nëpërmjet Kazaa duke hedhur këta skedarë C:\program files\kazaa\my shared folder\

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

Shpërndarja e virusit është programuar të ndalojë në datën 12 shkurt. Nga data 1 shkurt, virusi fillon të sulmojë faqen www.sco.com e cila i përket një grupi që ka hedhur në gjyq IBM për përdorimin e paligjshëm të kodit të unix në linux. Siç dihet Linux është falas dhe është e qartë që personi që ka krijuar këtë virus nuk ështe i kënaqur me SCO që kërkon të nxjerrë fitim.

Çuditërisht virusi nuk dërgon emaile në sërvërat që përmbajnë
avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla


Nuk dërgon email tek adresat:
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page


dhe nuk dërgon emaile tek adresat që përmbajnë një nga këto fjalë:
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun

Ndryshe nga virusët e tjerë, është e qartë që personi nuk ka dashur të sulmojë microsoft dhe nuk shfrytëzon difektet e windowsit. I gjithë qëllimi është mbyllja e faqes www.sco.com.
Faqja tani është mbyllur por ka ofruar $250.000 dollare si shpërblim për kapjen e autorit. Këtë gjë e bëri edhe Microsoft vitin që shkoi për kapjen e autorëve të Sobig dhe Blaster.

Materiali më lart është përshtatur në Shqip nga faqja e Symantec.
http://securityresponse.symantec.com...varg.a@mm.html

[Force-Intruder]

Hmmm. interesante vertet...
Hej une kam nje problem per vete.... ne kompjuterin tim ka te pakten nja 11 viruse te ndryshme (shumica trojane), por ajo qe me ka bere pershtypje heren e fundit eshte se jam infektuar nga nje virus i ri i cili eshte nje mrekulli e vertete.
Fillimisht me prishi antivirusin dhe me beri ta c'instaloj dhe me pas kur u mundova ta riinstaloj ....aha ma bllokon ne mes instalimin.
Keshtu vepron me norton, mcafee, grisoft, rav etj etj.
Jo vetem kaq po me ndalon dhe me ben redirect kur mundohem te shkoj ne ndonje sit nga ata te mesipermit.
Pengon dhe c'aktivizon qe ne stratup zona alarm, sysgate pro dhe avast..i provova keta por pa sukses....
Nuk duket ne proc. viewer, task bar apo me msconfig....... a mund te me ndihmoje njeri si e ka emrin sepse vetem per kete nuk po i fus nje format...ky virus eshte me te vertete ultra.

[Force-Intruder]

Meqe ra fjala ja kodi vb i MyDoom/Novarg remover-it :
(Po ta dija se kusha e ka bere do ti merrja 250000 dollaret me qejf):

Forma Main :

Dim CurDrive As Long
Dim LastDetected As Long

Private Sub cOps_Click(Index As Integer)
Select Case Index
Case 0
If File1.ListIndex > -1 Then
a = MsgBox("Are you sure you would like to permanently delete this file?", vbYesNoCancel, "Delete File?")

If a <> 6 Then Exit Sub

DeleteFile File1.Path & "\" & File1.FileName

AppVal.sFileChkPath(LastDetected) = File1.Path & "\" & File1.FileName

AppVal.sFileChkRemoved(LastDetected) = True

SomeWork = True

File1.Refresh

ChkFileList
Else
MsgBox "You must select a file to remove", vbInformation, "Information Error"
End If
Case 1
fREg.Show

Unload Me
Case 2
ExitApp
End Select
End Sub

Private Sub Dir1_Change()
File1.Path = Dir1.Path

File1.Refresh

ChkFileList
End Sub

Private Sub Drive1_Change()
On Error GoTo ErrHandle

Dir1.Path = Drive1.List(Drive1.ListIndex)

CurDrive = Drive1.ListIndex

Exit Sub
ErrHandle:
Drive1.ListIndex = CurDrive
End Sub

Private Sub ChkFileList()
If File1.ListCount > 0 Then
For a = 0 To File1.ListCount - 1
For b = 0 To lstCriteria.ListCount - 1
If InStr(File1.List(a), lstCriteria.List(b)) Then
Me.iDected.Visible = True
Me.lTitle.Visible = True
Me.lTitle.Caption = "Possible Worm Resource : " & lstCriteria.List(b)
Me.cOps(0).Visible = True

AppVal.sFileChkDetected(b) = True

LastDetected = b

Exit Sub
Else
Me.iDected.Visible = False
Me.lTitle.Visible = False
Me.cOps(0).Visible = False
End If
Next
Next
End If
End Sub

Private Sub Form_Load()
For a = 0 To UBound(SplitBuf)
lstCriteria.AddItem SplitBuf(a)
Next
End Sub

Forma e Regjistrit :

Private Sub cOps_Click(Index As Integer)
Select Case Index
Case 0
'remove
ClearReg

CreateReport

Unload Me
Case 1
'done
ExitApp
End Select
End Sub

Private Sub Form_Load()
GetReg

If AppVal.sRegTaskCurDetected = True Then
lstReg.AddItem "Current TaskMon Detected"
End If

If AppVal.sRegTaskLocalDetected = True Then
lstReg.AddItem "Local TaskMon Detected"
End If

If AppVal.sRegKeyCurDetected = True Then
lstReg.AddItem "Current Explorer Detected"
End If

If AppVal.sRegKeyLocalDetected = True Then
lstReg.AddItem "Local Explorer Detected"
End If
End Sub

Forma e Rezultateve :

Private Sub cOps_Click()
Unload Me
End
End Sub

Private Sub cOps_Click(Index As Integer)
Select Case Index
Case 0
'auto
fMain.Show

AutoScan

Unload Me
Case 1
'manual
fman.Show
Unload Me
End Select
End Sub


Modulet :

[Force-Intruder]

Modulet :

Moduli main :

'Get the systems directory
Private Declare Function GetSystemDirectory Lib "kernel32.dll" Alias "GetSystemDirectoryA" (ByVal lpBuffer As String, ByVal nSize As Long) As Long

Private Declare Function GetTempPath Lib "kernel32.dll" Alias "GetTempPathA" (ByVal nBufferLength As Long, ByVal lpBuffer As String) As Long

Const RunPath = "Software\Microsoft\Windows\CurrentVersion\Run"
Const ExplorerPath = "Software\Microsoft\Windows\CurrentVersion\Explorer \ComDlg32\Version"
Const KazaaPath = "SOFTWARE\Kazaa\LocalContent"

Const FileSearch = "winamp5,icq2004,activation,strip,root,office,nuke"

'Session values for the app, keeps track for reporting
Public Type Sess
sTMDetected As Boolean
sTMRemoved As Boolean
sMessDetected As Boolean
sMessRemoved As Boolean
sShimDectected As Boolean
sShimRemoved As Boolean
sFileChkDetected() As Boolean
sFileChkRemoved() As Boolean
sFileChkPath() As String
sRegTaskCurDetected As Boolean
sRegTaskCurRemoved As Boolean
sRegTaskLocalDetected As Boolean
sRegTaskLocalRemoved As Boolean
sRegKeyCurDetected As Boolean
sRegKeyCurRemoved As Boolean
sRegKeyLocalDetected As Boolean
sRegKeyLocalRemoved As Boolean
End Type

Public AppVal As Sess ' Session Values
Public SysPath As String ' holds the system path
Public TempPath As String ' holds Temp path
Public KzaPath As String
Public SomeWork As Boolean
Public SplitBuf() As String

Public Sub Main()
On Error GoTo ErrHandle
Dim Retval

Retval = GetSysPath

If Retval = -1 Then GoTo ErrHandle

Retval = GetTmpPath

If Retval = -1 Then End

SplitBuf = Split(FileSearch, ",")

ReDim AppVal.sFileChkDetected(UBound(SplitBuf))

ReDim AppVal.sFileChkRemoved(UBound(SplitBuf))

ReDim AppVal.sFileChkPath(UBound(SplitBuf))

fSelect.Show

Exit Sub
ErrHandle:
MsgBox "An error has occurred that will terminate the application. If the problem persists please contact Multiple Technologies", vbCritical, "Fatal Error"
End
End Sub

Public Function AutoScan()
'used in the automatic run to test for the app
Dim Retval As Variant
Dim i As Integer

UpdateDisplay 1

ChkFiles

UpdateDisplay 2

Retval = Dir(SysPath & "\taskmon.exe", vbNormal)

UpdateDisplay 3

If AppVal.sTMDetected = True Then
DeleteFile SysPath & "\taskmon.exe"

UpdateDisplay 4

AppVal.sTMRemoved = True

UpdateDisplay 5
End If

If AppVal.sShimDectected = True Then
DeleteFile SysPath & "\shimgapi.dll"

UpdateDisplay 6

AppVal.sShimRemoved = True

UpdateDisplay 7
End If

If AppVal.sMessDetected = True Then
DeleteFile TempPath & "\Message"

UpdateDisplay 8

AppVal.sMessRemoved = True

UpdateDisplay 9
End If

For i = 0 To UBound(SplitBuf)
If AppVal.sFileChkDetected(i) = True Then
DeleteFile KzaPath & "\" & AppVal.sFileChkPath(i)

AppVal.sFileChkRemoved(i) = True

UpdateDisplay i + 10
End If
Next

GetReg

UpdateDisplay i + 11

ClearReg

UpdateDisplay i + 12

Unload fMain

UpdateDisplay i + 12

CreateReport

UpdateDisplay i + 13
End Function

Public Sub ClearReg()
'opens the reg and deletes bbeagle's reg entries
On Error Resume Next

Dim REG As New RegisterEX
Dim Retval As Variant
Dim CurKey As Long

Retval = REG.OpenKey(HKEY_CURRENT_USER, RunPath, KEY_ALL_ACCESS)

If Retval <> regfail Then
CurKey = Retval

Retval = REG.DeleteValueEX(CurKey, "TaskMon")

If Retval <> regfail Then AppVal.sRegTaskCurRemoved = True
End If

Retval = REG.OpenKey(HKEY_LOCAL_MACHINE, RunPath, KEY_ALL_ACCESS)

If Retval <> regfail Then
CurKey = Retval

Retval = REG.DeleteValueEX(CurKey, "TaskMon")

If Retval <> regfail Then AppVal.sRegTaskLocalRemoved = True
End If

Retval = REG.DeleteKey(HKEY_CURRENT_USER, ExplorerPath)

If Retval <> regfail Then AppVal.sRegKeyCurRemoved = True

Retval = REG.DeleteKey(HKEY_LOCAL_MACHINE, ExplorerPath)

If Retval <> regfail Then AppVal.sRegKeyLocalRemoved = True
End Sub

Public Sub GetReg()
On Error Resume Next

Dim REG As New RegisterEX
Dim Retval As Variant
Dim CurKey As Long

Retval = REG.OpenKey(HKEY_CURRENT_USER, RunPath, KEY_ALL_ACCESS)

If Retval <> regfail Then
CurKey = Retval

Retval = REG.ReadKey(CurKey, "TaskMon")

If Retval <> regfail Then AppVal.sRegTaskCurDetected = True
End If

Retval = REG.OpenKey(HKEY_LOCAL_MACHINE, RunPath, KEY_ALL_ACCESS)

If Retval <> regfail Then
CurKey = Retval

Retval = REG.ReadKey(CurKey, "TaskMon")

If Retval <> regfail Then AppVal.sRegTaskLocalDetected = True
End If

Retval = REG.OpenKey(HKEY_CURRENT_USER, ExplorerPath, KEY_ALL_ACCESS)

If Retval <> regfail Then AppVal.sRegKeyCurDetected = True

Retval = REG.OpenKey(HKEY_LOCAL_MACHINE, ExplorerPath, KEY_ALL_ACCESS)

If Retval <> regfail Then AppVal.sRegKeyLocalDetected = True

End Sub

Public Sub CreateReport()
'make a report of the operations conducted on the system
Dim Pushval As String
Dim FileNum As Long

Pushval = "**********Novarg Hunter Report**********" & vbCrLf & _
"Files Possibly Infected : " & vbCrLf & vbCrLf

If AppVal.sTMDetected = True Then
Pushval = Pushval & "File Detected - TaskMon.exe" & _
" : " & SysPath & "\taskmon.exe"
End If

If AppVal.sTMDetected = True Then
Pushval = Pushval & "File Removed - TaskMon.exe" & _
" : " & SysPath & "\taskmon.exe"
End If

For a = 0 To UBound(SplitBuf)
If AppVal.sFileChkDetected(a) = True Then
Pushval = Pushval & "File Detected - " & SplitBuf(a) & " : " & AppVal.sFileChkPath(a) & vbCrLf
End If

If AppVal.sFileChkRemoved(a) = True Then
Pushval = Pushval & "File Removed - " & SplitBuf(a) & " : " & AppVal.sFileChkPath(a) & vbCrLf
End If
Next

Pushval = Pushval & vbCrLf & vbCrLf & _
"Registry Entries Assosiated with Novarg Worm :" & vbCrLf & vbCrLf

If AppVal.sRegTaskCurDetected = True Then
Pushval = Pushval & "Current TaskMon Detected" & vbCrLf
End If

If AppVal.sRegTaskCurRemoved = True Then
Pushval = Pushval & "Current TaskMon Removed" & vbCrLf
End If

If AppVal.sRegTaskLocalDetected = True Then
Pushval = Pushval & "Local TaskMon Detected" & vbCrLf
End If

If AppVal.sRegTaskLocalRemoved = True Then
Pushval = Pushval & "Local TaskMon Removed" & vbCrLf
End If

If AppVal.sRegKeyCurDetected = True Then
Pushval = Pushval & "Current Explorer Detected" & vbCrLf
End If

If AppVal.sRegKeyCurRemoved = True Then
Pushval = Pushval & "Current Explorer Removed" & vbCrLf
End If

If AppVal.sRegKeyLocalDetected = True Then
Pushval = Pushval & "Local Explorer Detected" & vbCrLf
End If

If AppVal.sRegKeyLocalRemoved = True Then
Pushval = Pushval & "Local Explorer Removed" & vbCrLf
End If

Pushval = Pushval & vbCrLf & _
"Test Run : " & Time & "::" & Date & vbCrLf & _
"Brought to you by Multiple Technologies 2004"

FileNum = FreeFile

Open App.Path & "\" & Month(Date) & "_" & Day(Date) & "_" & Year(Date) & Timer & ".log" For Output As #FileNum

Print #FileNum, Pushval

Close FileNum

fReport.Show

fReport.tOut.Text = Pushval
End Sub

Public Sub UpdateDisplay(ByVal ProcessID As Integer)
'update progress bar
With fMain
.lTitle(1).Caption = CStr(((ProcessID * 100) / 5) & " %")
.Shape1.Width = 320 - ((((ProcessID * 100) / 5) * 100) / 320)
End With
End Sub

Public Sub DeleteFile(ByVal FilePath As String)
On Error GoTo ErrHandle

Dim FileNum As Long
Dim FileLen As Long
Dim Buffer As String

FileNum = FreeFile

Open FilePath For Binary Access Write As #FileNum

FileLen = LOF(FileNum)

Buffer = Space$(0)

Put #FileNum, 1, Buffer

Close

Kill FilePath

Exit Sub
ErrHandle:

End Sub

Private Function GetSysPath() As Integer
On Error GoTo ErrHandle

Dim Retval As Long
Dim RetSys As String

RetSys = Space$(1024) ' make space for the returned folder path

Retval = GetSystemDirectory(RetSys, 1024)

If Len(Retval) < 0 Then ' if it return a string then cut the trail and store
GoTo ErrHandle
Else
SysPath = Left(RetSys, Retval)
GetSysPath = 0
End If

Exit Function
ErrHandle:
GetSysPath = -1
End Function

Public Function GetTmpPath() As Integer
On Error GoTo ErrHandle

Dim Retval As String

Retval = Space$(1024)

a = GetTempPath(1024, Retval)

If a <> 0 Then
Retval = RTrim(Retval)

TempPath = Retval

Debug.Print Retval
End If

GetTmpPath = 0

Exit Function
ErrHandle:
GetTmpPath = -1
End Function

Public Sub ExitApp()
'verify you would like to end
a = MsgBox("Novarg Hunter has not terminated the Novarg. Are you sure you would like to exit Novarg Hunter?", vbQuestion + vbYesNoCancel, "Exit Novarg Hunter")

If a = 6 Then
If SomeWork = True Then
CreateReport

End
Else
End
End If
End If
End Sub

Public Function ChkFiles() As Integer
On Error GoTo ErrHandle
Dim Retval
Dim i As Integer
Dim REG As New RegisterEX

Retval = Dir(SysPath & "\taskmon.exe", vbNormal Or vbHidden Or vbSystem)

If Retval <> "" Then AppVal.sTMDetected = True

Retval = Dir(SysPath & "\shimgapi.dll", vbNormal Or vbHidden Or vbSystem)

If Retval <> "" Then AppVal.sShimDectected = True

Retval = Dir(TempPath & "\Message", vbNormal Or vbHidden Or vbSystem)

If Retval <> "" Then AppVal.sMessDetected = True

Retval = REG.OpenKey(HKEY_LOCAL_MACHINE, KazaaPath, KEY_ALL_ACCESS)

If Retval <> regfail Then
CurKey = Retval

Retval = REG.ReadKey(CurKey, "DownloadDir")

If Retval <> regfail Then KzaPath = Retval
End If

For i = 0 To UBound(SplitBuf)
Retval = Dir(KzaPath & "\" & SplitBuf(i) & ".*", vbNormal Or vbHidden Or vbSystem)

If Retval <> "" Then
AppVal.sFileChkDetected(i) = True

AppVal.sFileChkPath(i) = Retval
End If
Next

ChkFiles = 0
Exit Function
ErrHandle:
ChkFiles = -1
End Function


Class Module (regjistri):

Private Type SECURITY_ATTRIBUTES
nLength As Long
lpSecurityDescriptor As Long
bInheritHandle As Boolean
End Type

Private Declare Function RegOpenKeyEx Lib "advapi32.dll" Alias "RegOpenKeyExA" (ByVal hkey As Long, ByVal lpSubKey As String, ByVal ulOptions As Long, ByVal samDesired As Long, phkResult As Long) As Long

Private Declare Function RegCreateKeyEx Lib "advapi32.dll" Alias "RegCreateKeyExA" (ByVal hkey As Long, ByVal lpSubKey As String, ByVal Reserved As Long, ByVal lpClass As String, ByVal dwOptions As Long, ByVal samDesired As Long, lpSecurityAttributes As SECURITY_ATTRIBUTES, phkResult As Long, lpdwDisposition As Long) As Long

Private Declare Function RegDeleteValue Lib "advapi32.dll" Alias "RegDeleteValueA" (ByVal hkey As Long, ByVal lpValueName As String) As Long
Private Declare Function RegDeleteKey Lib "advapi32.dll" Alias "RegDeleteKeyA" (ByVal hkey As Long, ByVal lpSubKey As String) As Long

Private Declare Function RegSetValueEx Lib "advapi32.dll" Alias "RegSetValueExA" (ByVal hkey As Long, ByVal lpValueName As String, ByVal Reserved As Long, ByVal dwType As Long, lpData As Any, ByVal CBData As Long) As Long

Private Declare Function RegQueryValueEx Lib "advapi32.dll" Alias "RegQueryValueExA" (ByVal hkey As Long, ByVal lpValueName As String, ByVal lpReserved As Long, lpType As Long, lpData As Any, lpcbData As Long) As Long

Private Declare Function RegCloseKey Lib "advapi32.dll" (ByVal hkey As Long) As Long

'Standard Root Directories of the registry
Public Enum StandardKeys
HKEY_CLASSES_ROOT = &H80000000
HKEY_CURRENT_CONFIG = &H80000005
HKEY_CURRENT_USER = &H80000001
HKEY_DYN_DATA = &H80000006
HKEY_LOCAL_MACHINE = &H80000002
HKEY_PERFORMANCE_DATA = &H80000004
HKEY_USERS = &H80000003
End Enum

'Data Access Types of Registry Data
Public Enum RegAccess
KEY_ALL_ACCESS = &HF003F
KEY_CREATE_LINK = &H20
KEY_CREATE_SUB_KEY = &H4
KEY_ENUMERATE_SUB_KEYS = &H8
KEY_EXECUTE = &H20019
KEY_NOTIFY = &H10
KEY_QUERY_VALUE = &H1
KEY_READ = &H20019
KEY_SET_VALUE = &H2
KEY_WRITE = &H20006
End Enum

'Data Type of the value in the Registry
Public Enum RegData
REG_BINARY = 3
REG_DWORD = 4
REG_DWORD_BIG_ENDIAN = 5
REG_DWORD_LITTLE_ENDIAN = 4
REG_EXPAND_SZ = 2
REG_LINK = 6
REG_MULTI_SZ = 7
REG_NONE = 0
REG_RESOURCE_LIST = 8
REG_SZ = 1
End Enum

'Returns the process result
Public Enum RegReturn
RegOK = 256
regfail = 1024
End Enum

Public Function CreateKey(ByVal CommKey As StandardKeys, ByVal Keyloc As String) As Integer
Dim hkey As Long ' receives handle to the registry key
Dim secattr As SECURITY_ATTRIBUTES ' security settings for the key
Dim Subkey As String ' name of the subkey to create or open
Dim neworused As Long ' receives flag for if the key was created or opened
Dim Retval As Long ' return value

Subkey = Keyloc
secattr.nLength = Len(secattr)
secattr.lpSecurityDescriptor = 0
secattr.bInheritHandle = 1

'create, or open if it exists, return the handle of the reg key
Retval = RegCreateKeyEx(CommKey, Subkey, 0, "", 0, KEY_WRITE, _
secattr, hkey, neworused)

If Retval <> 0 Then
CreateKey = RegReturn.regfail
Else
CreateKey = RegReturn.RegOK
End If
End Function

Public Function OpenKey(ByVal CommKey As StandardKeys, ByVal Keyloc As String, ByVal AccType As RegAccess) As Long
Dim HregKey As Long ' receives handle to the opened registry key
Dim Subkey As String ' name of the subkey to create
Dim Retval As Long ' return value

Subkey = Keyloc

'Open reg key and return its handle
Retval = RegOpenKeyEx(CommKey, Subkey, 0, AccType, HregKey)

If Retval <> 0 Then
OpenKey = regfail
Else
OpenKey = HregKey
End If
End Function

Public Function ReadKey(ByVal HregKey As Long, ByVal KeyName As String) As String
Dim Stringbuffer As String ' receives data read from the registry
Dim DataType As Long ' receives data type of read value
Dim Slength As Long ' receives length of returned data
Dim Retval As Long ' return value

Stringbuffer = Space(255)
Slength = 255

'Read the value of the specified key oppened by the open call
Retval = RegQueryValueEx(HregKey, KeyName, 0, DataType, ByVal Stringbuffer, Slength)

If Retval <> 0 Then
ReadKey = RegReturn.regfail
Else
If DataType = REG_SZ Then
Stringbuffer = Left(Stringbuffer, Slength - 1) ' cut off the trailer
ReadKey = Stringbuffer
Else
ReadKey = "Unable to interpert data"
End If
End If
End Function

Public Function WriteKey(ByVal HregKey As Long, ByVal KeyName As String, ByVal Buffer As Variant, ByVal DataType As RegData) As String
Dim Stringbuffer As String ' the string to put into the registry
Dim Retval As Long ' return value

Stringbuffer = Buffer & vbNullChar ' note how a null character must be appended to the string
Retval = RegSetValueEx(HregKey, KeyName, 0, DataType, ByVal Stringbuffer, Len(Stringbuffer)) ' write the string

If Retval <> 0 Then
WriteKey = RegReturn.regfail
Else
WriteKey = RegReturn.RegOK
End If
End Function

Public Function DeleteKey(ByVal CommKey As StandardKeys, ByVal Keyloc As String) As Integer
Dim Retval As Long ' return value

'Removes the key from the registry
Retval = RegDeleteKey(CommKey, Keyloc)

If Retval <> 0 Then
DeleteKey = RegReturn.regfail
Else
DeleteKey = RegReturn.RegOK
End If
End Function

Public Function DeleteValueEX(ByVal HregKey As Long, ByVal KeyName As String) As Integer
Dim Retval As Long ' return value

'Removes the value from the key specified
Retval = RegDeleteValue(HregKey, KeyName)

If Retval <> 0 Then
DeleteValueEX = RegReturn.regfail
Else
DeleteValueEX = RegReturn.RegOK
End If
End Function

Public Function CloseKey(ByVal HregKey As Long) As Integer
Dim Retval As Long ' return value

'frees the handle from the registry
Retval = RegCloseKey(HregKey)

If Retval <> 0 Then
CloseKey = RegReturn.regfail
Else
CloseKey = RegReturn.RegOK
End If
End Function

[MtrX]

me nje fjale virusi mydoom kerkonte t'i shkaktonte dem kompanise qe prodhon Unix apo e kam gabim?
nqs eshte keshtu, atehere do e kene bere te medhenjte, ose Bill Gates, ose pronari i Linux, apo jo?
MtrX

[bregu26]

O dreq o pune!
Na mbyten more me virusa, trojana, spyware, etj etj
Na u gerdit interneti fare!

[Akulli]

Ky virus i fundit nuk eshte ndonje gje e madhe por me cau koken.
adres time te e-mail tek puna e kam dhe si kosh te serverit. Dmth kur con nji e-mail formen name@mydomain.cz ku mydomain eshte emri i domenit tone dhe name emri i marresit por emri i marresit nuk emer ne listen e adresave, atehere ai e-mail shkon me koshi, dmth ne adresen time. Kete e kam bere per faktin se ne rast kur shkruhet nji adrese gabim, e-mail te mos humbe por une pastaj i coj nji e-mail derguesit me adresen e sakte dhe i bej forward marresit e-mail.
Vetem se ne dy ditet e fundit me erdhe nja 500 e ca e-mail me kete virus.
m'u desh te ndryshoja koshin ne nji adrese tjeter se nuk po merrja vesh kush jane e-maile per mua dhe kush jo, dhe nuk kisha kohe me bo checking gjithe kohes.

Force intrude, ate virus qe thua ti e kam pas ne dy komputera te firmes.
dhe une si ti bera te gjitha perpjekjet qe dija dhe qe lexova por
me vjen keq: Problemi nuk u zgjidh derisa u be format.
Ishallah gjen ndonje menyre ti se une "i gave up".
Cheers,
Oni

[Eve]

ky virus me ka ardhur nja tre-kater here, por e kam delete

[Ardi_Pg_ID]

F-I persa i perket ati virusi e di qe kane pasur probleme serjoze edhe kata ne shkollen time sidomos nepermjet emails do mundohem te gjej se si i jane pergjigjur ata keti virusi e do te te njoftoj
Ardi

[edspace]

Pa u shpërndarë mirë akoma, është lëshuar edhe një version tjetër i virusit i cili këtë radhë sulmon faqen www.microsoft.com.
Sipas ekspertëve MyDoom.B nuk është aq i dëmshëm sa MyDoom.A dhe mendohet të ketë patur gabime në programim.
Microsoft u përgjigj shpejt duke bërë të mundur një shpërblim prej $250.000 dollarësh për autorin e virusit. Shuma e plotë tani nga SCO dhe Microsoft është $500.000 dollare.

Këto ditë studjuesit e viruseve presin të shikojnë version tjetër të virusit akoma më të fuqishëm.

Freskoni më shpesh antivirusët dhe mos hapni asnjë email të dyshimtë edhe sikur të jetë nga një shoku juaj pasi edhe shoku vetë nuk mund ta dijë që e ka dërguar emailin.

Këto ditë një ndër 16 emaile në botë ka qënë si pasojë e virusit. Ky virus ja ka kaluar sobig.f dhe tani mban titullin si virusi më i shpejtë në shpërndarje.

[Force-Intruder]

Ardi : te them te drejten nuk kam probleme serioze...rri aty urte e bute, vetem se nuk perdor dot antivirus dhe firewall, si edhe nuk mund te shkarkoj dot vetem programe antivirus apo te vizitoj faqet e tyre.
funksionon per mrekulli dhe une nuk dua te formatoj PC-ne pa i gjetur emrin... edhe dicka : e sigurt qe nuk e kam marre nepermjet emailit.

[Force-Intruder]

E gjeta ate rrushin e vogel qe ben gjithe ato gjera te kendshme...lol
Quhet optix dhe eshte backdoor
Very coooooooooooooooool
Bravo programuesit !

[edspace]

Siç ishte parashikuar, sot në 1 shkurt, filloi sulmimi i rëndë i faqes www.sco.com e cila deklaroi në orët e para që faqja nuk mund të përballonte kërkesat dhe ishte detyruar të mbyllej. Sulmi ishte programuar për në 12:00 por shumë kompjutera që e kanë orën përpara, e filluan sulmin edhe më parë.

Microsoft ka dy ditë afat për tu përgatitur ndaj një sulmi të ngjashëm që pritet të fillojë të martë në datën 3 Shkurt.

Nga emailet e infektuar që kam marrë sot (rreth 30 prej tyre), është e qartë që virusi ka infektuar edhe shumë kompjutera Shqiptarësh që kanë pasur adresën time të emailit. Sipas specialistëve efekti i viruseve do vazhdojë të ndihet për disa ditë të tjera sepse është akoma duke u shpërndarë. Le të shpresojmë që autorin ta zërë frika nga 500.000 dollare që kanë vënë për kokën e tij, dhe të mos nxjerrë versione të tjera të virusit.

Edhe njëherë u kujtoj që të mos hapni asnjë email të dyshimtë me skedarë të bashkëngjitur, edhe sikur emaili te jetë dërguar nga një miku juaj. Mos hapni asnjë skedar që ju nuk e keni kërkuar parakohe.

[Force-Intruder]

Ja edhe ASM source i mydoom (dsm me windasm32)
Kush do ti hedhi nje sy..

[Force-Intruder]

Ja edhe vazhdimi :

[edspace]

Ndryshe nga SCO.com, faqja e microsoftit e shmangu sulmin e Mydoom.B pa asnje problem. Deri tani microsoft nuk tregon se qysh e arriti mbrojtjen per shkak sigurie por kompjuterat e infektuar me Mydoom.B nuk mund te hapin microsoft.com.
Per keta persona microsoft hapi nje faqe me vete tek http://information.microsoft.com

[Elvis-BG]

Persa i perket ketij virusi me qef do ta kisha instaluar por ky rrjeti ku ka firewal dhe nuk lejon porta te tjera pervec 80. Do ta lejosha te bente punen e vet deri me 12 shkurt ( date ne te cilen do te sulmoje serverat e cisco-s dhe microsoft-it ) pastaj http://securityresponse.symantec.co...er/FxNovarg.exe
Ore Foce-Intruder po ku ja gjete souce codin ketij "visusi" apo eshte vetem ajo qe te tegon deasmbleri. Kot po te pyes vella se me sa di une edhe pasi doli MyDoomB ekspertet thoni qe autori i MyDoomA e ka modifikuar sepse souce kodi i tij nuk ishte publikuar ne asnje vend. Gjithsesi vella njesh je.
Meqe ra fjala pershendentje te gjithe

[benseven11]

shikoni kete faqe,version i ri i thjeshtuar i virusit MYDOM,MYDOMJUICE dale ne qarkullim ne 9 shkurt
detajet ketu
http://www.eweek.com/article2/0,4149,1522236,00.asp

[benseven11]

ne 20 shkurt doli ne qarkullim nje varjant i ri virusit My Dom
My Dom F i cili heq skedare ne kompjuterat e infektuar
Infektimi vjen ne rrugen e zakonshme te file-sharing si dhe
e-mailave per detaje shikoni faqen me poshte
http://www.pcmag.com/article2/0,4149,1537295,00.asp