Crv Mydoom novi rekorder
29. Januar 2004.
Prema izveštajima više antivirusnih kompanija novi Internet crv Mydoom potukao je sve dosadašnje rekorde po brzini širenja, inficirajuci racunare u više od 142 zemalja širom sveta.
Kompanija Message Labs, specijalizovana za filtriranje poruka e-pošte, utvrdila je da se Mydoom (poznat i kao Shimgapi ili Novarg) nalazi u svakoj dvanaestoj poruci elektronske pošte. Ovaj podatak pokazuje da je novi crv daleko nadmašio prošlogodišnjeg "šampiona", virus Sobig.F koji je pronaden u svakoj sedamnaestoj poruci e-pošte.
Mydoom je prvi put registrovan 26. januara u SAD i Kanadi, i od tada se širi sa zapada na istok, preko Evrope do Azije. Kompanija MessageLabs je dosada primila više od milion poruka e-pošte koje sadrže virus, dok strucnjaci finske kompanije F-Secure procenjuju broj zaraženih racunara na oko 100.000.
Crv primaocima stiže kao datoteka priložena uz poruku e-pošte s temom "Hello" ili "test". Osim naslova poruke, virus menja i adrese sa kojih navodno dolazi, da bi na taj nacin lakše zavarao neoprezne korisnike. Tekst poruke cesto je napisan u tehnickom stilu i podseca na poruke koje automatski generišu serveri za elektronsku poštu. U nekim porukama, na primer, stoji: "ova poruka sadrži znakove u standardu Unicode, pa je priložena kao binarna datoteka" (the message contains unicode characters and has been sent as a binary attachment), ili "poruka ne može biti predstavljena u sedmobitnom ASCII kodu, tako da je poslata u binarnom kodu"
(the message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment). Priložena datoteka može imati nastavak .bat, .exe, .pif, ili .scr. i sadrži trojanca. Ako je neoprezni korisnik otvori, virus se aktivira i omogucava napadacu da preuzme kontrolu nad racunarom.
Tehnika kojom se služe autori crva da zavaraju primaoce, poznata je odranije pod nazivom "socijalni inženjering", a zasniva se na cinjenici da primaoci veruju da su poruke koje automatski generiše racunar, verodostojnije od onih koje šalju ljudi. Strucnjaci kompanije Trend Micro veruju da imitiranje stila i jezika koji se koristi u racunarski generisanim administrativnim porukama, može da pomogne Mydoomu da se raširi po ogromnim racunarskim mrežama velikih korporacija. Prema njihovim navodima, virus je vec uocen u dvanaest kompanija sa liste 100 najvecih, koju objavljuje poslovni magazin Fortune.
Po podacima koji su se pojavili na lokaciji Slashdot, namena virusa je koordiniranje napada na Web lokaciju grupe SCO, koji bi trebalo da pocne prvog februara. Medutim, casopis Computerworld objavio je da su neki zaraženi racunari vec poceli da napadaju www.sco.com. Zbog toga, grupa SCO ponudila je nagradu od 250.000 dolara za informacije koje bi dovele do hapšenja i osudivanja pojedinaca koji su stvorili taj virus.
Antivirusne kompanije su objavile i prve programe koji uklanjaju virus sa zaraženog racunara. Kompanija Symantec je objavila program Novarg removal tool koji se može besplatno preuzeti sa lokacije http://www.mikro.co.yu/veze/590.
Tweet
Prema izveštajima više antivirusnih kompanija novi Internet crv Mydoom potukao je sve dosadašnje rekorde po brzini širenja, inficirajuci racunare u više od 142 zemalja širom sveta.
Kompanija Message Labs, specijalizovana za filtriranje poruka e-pošte, utvrdila je da se Mydoom (poznat i kao Shimgapi ili Novarg) nalazi u svakoj dvanaestoj poruci elektronske pošte. Ovaj podatak pokazuje da je novi crv daleko nadmašio prošlogodišnjeg "šampiona", virus Sobig.F koji je pronaden u svakoj sedamnaestoj poruci e-pošte.
Mydoom je prvi put registrovan 26. januara u SAD i Kanadi, i od tada se širi sa zapada na istok, preko Evrope do Azije. Kompanija MessageLabs je dosada primila više od milion poruka e-pošte koje sadrže virus, dok strucnjaci finske kompanije F-Secure procenjuju broj zaraženih racunara na oko 100.000.
Crv primaocima stiže kao datoteka priložena uz poruku e-pošte s temom "Hello" ili "test". Osim naslova poruke, virus menja i adrese sa kojih navodno dolazi, da bi na taj nacin lakše zavarao neoprezne korisnike. Tekst poruke cesto je napisan u tehnickom stilu i podseca na poruke koje automatski generišu serveri za elektronsku poštu. U nekim porukama, na primer, stoji: "ova poruka sadrži znakove u standardu Unicode, pa je priložena kao binarna datoteka" (the message contains unicode characters and has been sent as a binary attachment), ili "poruka ne može biti predstavljena u sedmobitnom ASCII kodu, tako da je poslata u binarnom kodu"
(the message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment). Priložena datoteka može imati nastavak .bat, .exe, .pif, ili .scr. i sadrži trojanca. Ako je neoprezni korisnik otvori, virus se aktivira i omogucava napadacu da preuzme kontrolu nad racunarom.
Tehnika kojom se služe autori crva da zavaraju primaoce, poznata je odranije pod nazivom "socijalni inženjering", a zasniva se na cinjenici da primaoci veruju da su poruke koje automatski generiše racunar, verodostojnije od onih koje šalju ljudi. Strucnjaci kompanije Trend Micro veruju da imitiranje stila i jezika koji se koristi u racunarski generisanim administrativnim porukama, može da pomogne Mydoomu da se raširi po ogromnim racunarskim mrežama velikih korporacija. Prema njihovim navodima, virus je vec uocen u dvanaest kompanija sa liste 100 najvecih, koju objavljuje poslovni magazin Fortune.
Po podacima koji su se pojavili na lokaciji Slashdot, namena virusa je koordiniranje napada na Web lokaciju grupe SCO, koji bi trebalo da pocne prvog februara. Medutim, casopis Computerworld objavio je da su neki zaraženi racunari vec poceli da napadaju www.sco.com. Zbog toga, grupa SCO ponudila je nagradu od 250.000 dolara za informacije koje bi dovele do hapšenja i osudivanja pojedinaca koji su stvorili taj virus.
Antivirusne kompanije su objavile i prve programe koji uklanjaju virus sa zaraženog racunara. Kompanija Symantec je objavila program Novarg removal tool koji se može besplatno preuzeti sa lokacije http://www.mikro.co.yu/veze/590.
Tweet
