Kezdolap  
 
   



W32/Mydoom.s@MM

Adatlap

Felfedezés időpontja: 2004. 08. 15.

Eredet: Ismeretlen

Hossz: 27136 bájt

Típus: Vírus

Altípus: Internet programféreg

Szükséges adatbázis: 4386

Szükséges keresőmotor: 4.3.20

Előfordulás valószínűsége

Vállalati környezet: Közepes

Otthoni felhasználók: Közepes

Megjegyzés

Amennyiben Ön nem McAfee felhasználó, futassa le a Stinger  legújabb változatát. A McAfee felhasználók a legújabb adatbázisokkal képesek a vírus detektálására és tisztítására.

Tulajdonságok

A vírus tömeges levelezéssel terjed, az alábbi ismertetőjegyekkel:

Subject / tárgy: photos

Body / levéltörzs:  LOL;)))))

Attachment / csatolt állomány: photos_arc.exe

A vírus futásakor bemásolja magát a WINDOWS könyvtárba rasor38a.dll és a WINDOWS \ SYSTEM könyvtárba winpsd.exe néven.

A vírus registry bejegyzést is készít:

  •        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32

  •        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32

  •        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Run "winpsd" = C:\WINDOWS\System32\winpsd.exe

A vírus két weboldalról backdoor programot tölt le.

    •          www.richcolour.com
    •          zenandjuice.com

A fertőzés tünetei

A rasor38a.dll és winpsd.exe állományok valamint a fentiekben ismertetett registry kulcsok jelenléte.

A fertőzés menete

A vírus tömeges levelezéssel terjed. Az email címeket az alábbi állományokban keresi:

  •          adb
  •          asp
  •          dbx
  •          htm
  •          php
  •          pl
  •          sht
  •          tbb
  •          txt
  •          wab

Eltávolítási utasítások

Minden felhasználónak:

Az érvényes adatbázisokkal és keresőmotorral a vírus tisztítható.

A vírus kézi eltávolítása

1.       Indítsa újra a számítógépet csökkentett módban (Safe mode).

2.       Törölje a winpsd.exe állományt a WINDOWS \ SYSTEM könyvtárból.

3.       Nyissa meg a Regisztrációs adatbázis-szerkesztőt (Registry Editor), majd törölje az alábbi kulcsokat:

  •        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32

  •        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32

  •        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Run "winpsd" = C:\WINDOWS\System32\winpsd.exe

4.      Indítsa újra a számítógépet normál módban.

Stinger

A Stinger 2.39-es verziója tartalmazza a vírus detektálásához és tisztításához szükséges ismereteket.

Egyéb elnevezések

  •          WORM_RATOS.A (Trend)
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2004.