Mydoom

Iz Wikipedije, proste enciklopedije
Jump to navigation Jump to search

Mydoom je računalniški črv, znan tudi kot W32.MyDoom@mm, Novarg, Mimail.R in Shimgapi. Mydoom je znan po tem, da okuži Microsoft Windows. Večinoma se prenaša preko elektronske pošte. Elektronsko sporočilo vsebuje priponko. Če se ta priponka odpre se mail razpošlje vsem stikom, ki jih ima prejemnik v imeniku.

Prvič je bil zaznan 26. januarja 2004, obstajajo pa različice v angleškem in francoskem jeziku. Črv vsebuje sporočilo: »andy; I'm just doing my job, nothing personal, sorry«. Mydoom je učinkovitejši od črvov Sobig in ILOVEYOU, med vsemi znanimi črvi se je ob odkritju najhitreje širil.

Tehnične podrobnosti[uredi | uredi kodo]

Ko se zažene, črv odpre Windows Beležnico, v kateri se nahajajo odstranjeni podatki. Črv šifrira večino niti v telesa UPX z ROT13 metodo. Znaki v abecedarju se zavrtijo za 13 položajev v desno. Začne se na začetku, če je pozicija nad zadnjim znakom. Črv odpira backdoor na okuženih računalnikih. To se zgodi, ko črv na novo zasadi SHIMGAPI.DLL datoteko. Mydoom opravlja tudi  Distributed Denial-of-Service napad na www.sco.com. Napad se začne 1. februarja.

Mydoom je programiran tako, da se širjenje vedno ustavi 12. februarja.

Žrtve in okužbe[uredi | uredi kodo]

Mydoom je povzročil že preko 38.5 milijarde dolarjev škode. Vendar pa to število prihaja iz organizacije Mi2g, ki je znano po svojih izjemno pogosto absurdno, visokimi ocenami škode. Storitev MESSAGELABS je blokirala že okoli 7.4 milijona primerov Mydoom napadov. Eno od 41 elektronskih sporočil je okuženo z računalniškim črvom Mydoom. Pojavilo se je tudi obdobje, ko je bilo z Mydoomom okuženo vsaj eno od dvanajstih elektronskih sporočil. To je znašalo okoli 20-30% svetovnega prometa preko elektronske pošte. To je upočasnilo internetni promet po vsem svetu. 13 odstotkov okuženih  je bilo v ZDA, ostalo pa se je pojavilo v Rusiji.

F-Secure antivirus strokovnjak Mikko Hypponen pravi, da je Mydoom "najslabši e-poštni črv incident, ki se je zgodil v zgodovini virusov". MESSAGELABS stran je Mydoom uvrstila kot  5. najbolj aktivnih črvov. .

Zaščita[uredi | uredi kodo]

Elektronsko sporočilo, ki je okuženo, lahko zaznamo prepoznamo po prejemnikovem imenu in naslovni vsebini elektronskega sporočila oziroma pošte.

Primeri naslovnih vsebin:

 Hi

 Hello

 Error

 Test

 Mail delivery system

Mail transaction failed

Server report status

Elektronsko sporočilo vsebuje priponko s končnico CMD.EXE.PIF.TXT. ali SCR datoteka. Lahko je prišlo tudi v ZIP datoteki.

Najboljša zaščita je bila prepoznava elektronskega sporočila oziroma pošte in neodpiranje neznane priponke. Strokovnjaki so opozarjali, da se pri okužbi s črvom Mydoom za odstranitev uporabil posebno odstranitveno orodje in protivirusni program. To se uporabi zaradi tega, ker Mydoom pusti veliko map in datotek skozi celoten sistem računalnika.

Časovno zaporedje[uredi | uredi kodo]

Prvič se je pojavil 26. januarja 2004 v Severni Ameriki. Prišel naj bi iz Rusije. Za nekaj ur se je zaradi črva upočasnil internetni prenos. Mydoom je zanikal, da je bil črv razposlan, saj naj bi se to zgodilo šele 1. februarja 2004. 27. januarja je SCO ponudila Ameriki veliko denarno nagrado za aretacijo ustvarjalcev črva Mydoom. Kasneje so začeli opravljati raziskave po celem svetu, da bi našli storilce. Julija 2009 je bila nazadnje napadena Južna Koreja Združene države Amerike. Od takrat naprej do danes ni bilo zaznane večje širitve črva Mydoom. 

Viri[uredi | uredi kodo]

  • "Mydoom". F-Secure.
  • "W32.Mydoom.M@mm". Symantec. Pridobljeno dne 3.1.2016.
  • Munro, Jay (3.2.2004). "MyDoom.A:Fastest Spreading Virus in History". PCMag. Pridobljeno dne 3.1.2016.</ref>

Glej tudi[uredi | uredi kodo]

http://mydoom.com/