این ویروس که از نوع کرم می باشد از طریق شبکه تبادل فایل Kazaa و ضمیمه نامه های الکترونیکی آغاز به گسترش کرده است.
این کرم به صورت ضمیمه برای نامه های الکترونیکی در قالب یک فایل به حجم 22528 بایت و با نام تصادفی و یکی از پسوندهای .bat .cmd .exe .pif .scr .zip پخش می شود.
این کرم تحت نام های زیر هم پخش می شود :
Novarg (F-Secure), W32.Novarg.A@mm (Symantec), Win32/Shimg (CA), WORM_MIMAIL.R (Trend)
سیستم هایی که از این کرم آسیب پذیر خواهند بود شامل موارد زیر می شود :
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
بعد از فعال شدن این کرم :
- تغییراتی در ریجستری ویندوز برای آغاز به کار ویروس انجام می شود.
- یک پورت از نوع TCP بر روی بازه بین 3127 تا 3198 برای آغاز حملات خود آماده می کند.
- یک نسخه از خود را در شاخه C:\Program Files\KaZaA\My Shared Folder\ folder کپی می کند تا کاربران کازا را تحت تاثیر قرار دهد.
این کرم با استفاده از SHIMGAPI.DLL در شاخه system32 دسترسی را برای حمله کننده ها فراهم می کند.کرم طوری برنامه ریزی شده است که از اول فوریه یک حمله DoS را بر روی وب سایت شرکت sco آغاز میکند.
فعالیت این کرم طوری برنامه ریزی شده است که در تاریخ 12 فوریه متوقف می شود.
با ایجاد بک دور – backdoor- بر روی سیستم حمله کننده ها توانایی اجرای فایل در سیستم های قربانی را خواهند داشت.
امکان دارد نامه هایی که شامل این ویروس می شوند دربرگیرنده موارد زیر باشند :
Subject: <random>
From: <spoofed>
To: <email address>
Body:
(The body has been reported to contain one of the following three messages.)
“The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.”
“The message contains Unicode characters and has been sent as a binary attachment.”
“Mail transaction failed. Partial message is available.”
برای پاک کردن این کرم و یا گشتن به دنبال آن بر روی سیستم خود می توانید از ابزاری که شرکت Symantec فراهم کرده است استفاده کنید ، برای استفاده از آن :
- ابتدا فایل FxNovarg.exe را از پایگاه Symantec دانلود کنید و ذخیره کنید:
http://securityresponse.symantec.com/avcenter/FxNovarg.exe
- اگر از ویندوز XP یا Me استفاده می کنید باید System Restore را غیر فعال کنید.
- قبل از اجرای برنامه تمام برنامه ها را ببندید و اگر به اینترنت یا شبکه متصل هستید ارتباط خود را قطع کنید.
- حالا FxNovarg.exe را اجرا کنید و با کلیک بر روی Start برنامه آغاز به گشتن و پاک سازی سیستم شما می کند.
- بعد از اتمام کار کامپیوتر خود را ریست کنید و بعد از ریست برای اطمینان دوباره برنامه را اجرا کنید.
- در صورت استفاده از ویندوز XP یا Me حالا System Restore را فعال کنید.
دستورالعمل کامل کارکرد این ابزار را میتوانید از پایگاه Symantec مطاله کنید :
ابزار های دیگری هم برای پاک کردن و شناسایی این کرم منتشر شده است ،مانند :
The Mydoom removal
Removal Instructions from McAfee
در صفحه های زیر شما میتوانید اطلاعات کامل تری را درباره این ویروس پیدا کنید :
CERT® Incident Note IN-2004-01
http://www.sarc.com/avcenter/venc/data/[email protected]
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R
http://us.mcafee.com/virusInfo/default.asp?id=mydoom
http://www.f-secure.com/v-descs/novarg.shtml
http://www.sophos.com/virusinfo/analyses/w32mydooma.html
http://www3.ca.com/virusinfo/virus.aspx?ID=38102
مرسی از اطلاعات ارزنده ات
دستت طلا
bah bah che virose bahali,,,,man enghade virus dos daram….ghorbonet beram jalal joon ke az in virusaye ghashng ghashang moarefi mikoni mibinamet felan bye
esme dige in worm: ‘Linux war’ ast! chon SCO ro hadaf gerefte … vali guya ziyad moaffag nabude :)) mer30 az ettelaat-et
مرسی, خیلی جالب بود
سلام.
به خاطر موضوعات و اطلاعات جالبی که در وبلاگتون منتشر می کنید، خیلی ممنون و سپاسگزارم.
این صفحه از کجا برام یهو باز شد؟:)
من که از ویروس و این چیزا سر در نمیارم:)))
خیلی جالب بود . مرسی
ooooooooooooook
خیلی باحال بود دمت جیززززززززززززززززززززز!!!!!
khili ali ast mamnon az info haton
salam
manam tashlormikonam mofagh bashid
kheyli khosham omad .mer30 az lotfe shoma
ToooooooP BooooooooD
ba selam
khili mamnon az rahenemai shoma man alan be yek virus shotdaown mikoned movajeh hastem der inja rahnemai vojoud darad kashe anti virouss ra az inja be farssi anjam mishod v dawnload mikardim
choon der anja khili khobe motevajeh namishevim
ba tashekor