възстановяване на информация

мониторинг услуга на всички антивирусни фирмите докладвате бързо разпространение на нов червей MyDoom масовото изпращане. Различни антивирусен го наричат ​​различно - Win32.HLLM.MyDoom.32768 [DrWeb], I-Worm.Novarg [Kaspersky] W32.Novarg.A@mm [Norton AntiVirus], Win32 / Mydoom.A [Eset NOD32] WORM_MIMAIL .R [Trend Micro] Mydoom.A.worm [Panda антивирусни].
Основните виновници за разпространението на вируса са потребители. така че вирусът може да се разпространи чрез активно участие. За заразяване с вируса на потребителя трябва да собствените си ръце да разархивирате и стартирате приложен към имейла получен на интернет файл.
От психологическа гледна точка, вирусът използва същата техника, която наскоро бушува в голямата киберпространството Sobig.F вирус (Reteras). Човек може да се чудите само безгрижни потребители.

Текст на писмото се състои от няколко доста дискретни думи, които, въпреки това, една голяма част от потребителите да отворят прикачен изпълним файл:

Списъкът с възможни стойности

грешка
Статус
Сървър Доклад
Mail транзакция Неуспешно
Mail система за доставка
здравей
здрасти

Съобщението тялото: случаен, например:
  • Съобщението не може да бъде представена в 7-битов ASCII кодиране и е бил изпратен като двоичен привързаност.
  • Съобщението съдържа Unicode символа и е бил изпратен като двоичен привързаност.
  • Mail сделка се провали. Частичен съобщение е на разположение.
Различни [.bat. Търсейки. PIF. ПМС. SCR]; често идва в ZIP архив (22,528 байта)
  • вариации (добре познат имена, но може да бъде на случаен принцип)
  • doc.bat
  • document.zip
  • message.zip
  • readme.zip
  • text.pif
  • hello.cmd
  • body.scr
  • test.htm.pif
  • data.txt.exe
  • ile.scr
Икони, използвани от даден файл, прикачен файл може да го маскират под обикновен текстов файл.

Признаци на инфекция

Когато файлът се управлява, копира себе си в системната директория WINDOWS% SysDir% \ taskmon.exe. където% Sysdir% Windows системната директория, например C: \ Windows \ SYSTEM. В регистъра, да създадете следния запис за автоматично стартиране на файлове, когато Windows стартира:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run "TaskMon" =% SysDir% \ taskmon.exe


Вирусът използва DLL, който той създава в системната директория на Windows:


Това DLL (дължина 4096 байта) е свързан към проводника, след като компютърът се рестартира. За да направите това, използвайте следния ключ на системния регистър:

HKEY_CLASSES_ROOT \ CLSID \\ InprocServer32 "(по подразбиране)" =% SysDir% \ shimgapi.dll

Премахване на вируси ръчно

За физически премахване на вируса, е необходимо да се коригира в системния регистър, като се заличат автоматични ключове стартиране изброени по-горе, и да унищожи тялото на вируса и taskmon.exe shimgapi.dll в системната директория.

Лаборатория Fomsoft - Service възстановяване дистанционно данни и снимки със собствените си ръце.