відновлення інформації

Служби моніторингу всіх антивірусних фірм повідомляють про швидке поширення нового хробака масової розсилки MyDoom. Різні антивіруси його називають по різному - Win32.HLLM.MyDoom.32768 [DrWeb], I-Worm.Novarg [Kaspersky], W32.Novarg.A@mm [Norton AntiVirus], Win32 / Mydoom.A [Eset NOD32], WORM_MIMAIL .R [Trend Micro], Mydoom.A.worm [Panda AntiVirus].
Основним винуватцями поширення цього вірусу є Користувачі. так цей вірус може поширюватися при активній їхній участі. Для зараження цим вірусом Користувач повинен власними руками розпакувати і запустити файл, вкладений в отримане по інтернет лист.
Психологічно, цей вірус використовує теж прийом, що і недавно лютував на просторах кіберпростору вірус Sobig.F (Reteras). Залишається тільки дивуватися безпечністю користувачів.

Текст листа складається з декількох досить непомітних слів, які, тим не менш, спонукають багатьох користувачів відкривати вкладений виконуваний файл:

Перелік можливих значень

Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi

Тіло повідомлення: випадкове, наприклад:

• The message can not be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• The message contains Unicode characters and has been sent as a binary attachment.
• Mail transaction failed. Partial message is available.

різні [.bat. exe. pif. cmd. scr]; часто приходить в ZIP-архіві (22,528 байт)

• варіації (загальновідомі імена, але може бути випадковим)
• doc.bat
• document.zip
• message.zip
• readme.zip
• text.pif
• hello.cmd
• body.scr
• test.htm.pif
• data.txt.exe
• ile.scr

Іконка, яка використовується файлом-вкладенням, може маскувати його під звичайний текстовий файл.

Ознаки зараження комп'ютера

Коли файл запускається, він копіює себе в системний каталог WINDOWS% SysDir% \ taskmon.exe. де% Sysdir% системний каталог Windows, наприклад C: \ WINDOWS \ SYSTEM. У реєстрі створюється наступний запис для автоматичного запуску файлу в момент старту Windows:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run "TaskMon" =% SysDir% \ taskmon.exe

Вірус використовує DLL, яку він створює в системному каталозі Windows:

Ця DLL (довжиною 4,096 байт) підключається до провідника після перезавантаження комп'ютера. Для цього використовується наступний ключ реєстру:

HKEY_CLASSES_ROOT \ CLSID \\ InProcServer32 "(Default)" =% SysDir% \ shimgapi.dll

Видалення вірусу вручну

Для фізичного видалення вірусу треба скоригувати системний реєстр, видаливши ключі автоматичного запуску, перераховані вище, і знищити тіла вірусу taskmon.exe і shimgapi.dll в системному каталозі.

Лабораторія Fomsoft - Сервіс дистанційного відновлення даних і фотографій своїми руками.

Схожі статті

• Відновлення втрачених паролів даних Аутлук за допомогою password recovery toolbox for outlook

• Відновлення зниклих папок після видалення трояна

• Win2018 faq - загальна інформація