Что необходимо знать о вариантах червя Mydoom: Mydoom.A, Mydoom.B и Doomjuice.A
--------------------------------------------------------------------------------
Опубликовано: 27 января 2004 года
Обновлено: 9 февраля 2004 года
--------------------------------------------------------------------------------
Важная новая информация
--------------------------------------------------------------------------------

Новый вариант червя Mydoom, известный как Doomjuice.A, был обнаружен в интернете 9 февраля. Червь Doomjuice.A поражает компьютеры, уже зараженные вирусом Mydoom.A, и использует их для атак других компьютеров через интернет. Заражение червем Doomjuice.A может привести к снижению эффективности работы компьютера и к ухудшению сетевых соединений.

Пользователи, уже удалившие с компьютеров вирус Mydoom.A, не подвержены опасности заражения вирусом Doomjuice.A.

Корпорация Майкрософт рекомендует ознакомиться с информацией на этой странице, чтобы определить, заражен ли ваш компьютер вирусом, и узнать, что делать в таком случае.

Установка и настройка брандмауэра
Если на вашем компьютере еще не установлен брандмауэр, рекомендуется немедленно его установить. Брандмауэр — это программное или аппаратное средство, создающее защитный барьер между вашим компьютером и потенциально опасным содержанием в интернете. С помощью брандмауэра можно защититься от атак хакеров и множества компьютерных вирусов и червей. На веб-узле Microsoft Protect Your PC находится полное руководство по установке и настройке брандмауэра.

Как определить, заражен ли компьютер червем Mydoom.A, Mydoom.B или Doomjuice.A
Чтобы узнать, заражен ли компьютер, выполните одну из следующих процедур.

Для операционных систем Windows XP, Windows 2000 или Windows NT 4.0
Чтобы узнать, заражен ли компьютер, выполните следующие действия:

Щелкните «Пуск», затем щелкните «Выполнить».
В поле «Открыть» наберите: cmd
Щелкните OK. Появится черное окно командной строки, в которой отображается C:\…>.
Наберите cd \ и нажмите ENTER. Текущая папка изменится на C:\, отобразится курсор.
Для поиска вируса Mydoom.A щелкните курсор, затем наберите: dir shimgapi.dll /a /s
Нажмите Enter.
Подождите:
Если появится сообщение «Файл не найден», компьютер не заражен червем Mydoom.A.
Если появится сообщение «Всего файлов», компьютер заражен вирусом Mydoom.A. Обратитесь к вашему разработчику антивирусных программ.
Для поиска вируса Mydoom.B щелкните курсор, затем наберите: dir ctfmon.dll /a /s
Нажмите Enter.
Подождите:
Если появится сообщение «Файл не найден», компьютер не заражен червем Mydoom.B.
Если появится сообщение «Всего файлов», (см. рис.2), компьютер заражен вирусом Mydoom.B. Следуйте приведенным ниже шагам.
Для поиска вируса Doomjuice.A щелкните курсор, затем наберите: dir intrenat.exe /a /s
Нажмите Enter.
Подождите:
Если появится сообщение «Файл не найден», компьютер не заражен червем Doomjuice.A.
Если появится сообщение «Всего файлов», (см. рис.3), компьютер заражен вирусом Doomjuice.A. Следуйте приведенным ниже шагам.

Для операционных систем Windows Millennium Edition, Windows 98 или Windows 95
Чтобы узнать, заражен ли компьютер, выполните следующие действия:

Щелкните «Пуск», затем щелкните «Выполнить».
В поле «Открыть» наберите: command
Щелкните OK. Появится черное окно командной строки, в которой отображается C:\…>.
Наберите cd \ и нажмите Enter. Текущая папка изменится на C:\, отобразится курсор.
Для поиска вируса Mydoom.A щелкните курсор, затем наберите: dir shimgapi.dll /a /s
Нажмите Enter.
Подождите:
Если появится сообщение «Файл не найден», компьютер не заражен червем Mydoom.A
Если появится сообщение «Всего файлов», (см. рис.4), компьютер заражен вирусом Mydoom.A. Обратитесь к вашему разработчику антивирусных программ.
Для поиска вируса Mydoom.B щелкните курсор, затем наберите: dir ctfmon.dll /a /s
Нажмите Enter.
Подождите:
Если появится сообщение «Файл не найден», компьютер не заражен червем Mydoom.B.
Если появится сообщение «Всего файлов», (см. рис.5), компьютер заражен вирусом Mydoom.B. Следуйте приведенным ниже шагам.
Для поиска вируса Doomjuice.A щелкните курсор, затем наберите: dir intrenat.exe /a /s
Нажмите Enter.
Подождите:
Если появится сообщение «Файл не найден», компьютер не заражен червем Doomjuice.A.
Если появится сообщение «Всего файлов», (см. рис.6), компьютер заражен вирусом Doomjuice.A. Следуйте приведенным ниже шагам.
Что делать, если доступ к некоторым веб-узлам интернета невозможен
Если ваш компьютер заражен вирусом, обратитесь к вашему разработчику антивирусных программ для получения информации и последних обновлений. Вирус MyDoom.B обладает побочным эффектом, который заключается в том, что доступ к веб-узлам некоторых разработчиков антивирусных программ невозможен. Если доступ к веб-узлу разработчика антивирусных программ невозможен, можно получить доступ с помощью одной из следующих процедур.

Если вы знаете кого-либо, чей компьютер заражен вариантом вируса Mydoom.B, этот человек может не иметь доступ к этой веб-странице. Для него будет полезным, если вы скажите, что информация на данной странице также доступна по адресу: https://information.microsoft.com/s...irus/mydoom.asp.

Примечание.При появление диалогового окна «Информация о безопасности» с сообщением «Эта страница содержит как безопасные, так и небезопасные элементы. Показать небезопасные элементы?« щелкните »Нет«.

При использовании Windows XP или Windows 2000
Можно использовать средство удаления червя Mydoom (A, B) (Mydoom (A, B) Worm Removal Tool) для простого автоматического обнаружения и удаления червей Mydoom.A и Mydoom.B, которое также восстановит доступ к веб-узлам, заблокированный червем MyDoom.B.

Для операционных систем Windows XP, Windows 2000 или Windows NT 4.0
Щелкните «Пуск», затем щелкните «Выполнить».
В поле «Открыть» наберите: cmd.
Щелкните OK. Появится черное окно командной строки, в которой отображается C:\…>.
Наберите cd \ и нажмите ENTER. Текущая папка изменится на C:\, отобразится курсор.
Щелкните курсор и наберите: del /F %systemroot%\system32\drivers\etc\hosts
Нажмите ENTER.
Наберите: echo # Temporary HOSTS file >%systemroot%\system32\drivers\etc\hosts
Нажмите ENTER.
Наберите: attrib +R %systemroot%\system32\drivers\etc\hosts
Нажмите ENTER.
После набора этих команд выполните одно из следующих действий:
При использовании Windows NT 4.0 перезагрузите компьютер.
При использовании операционных систем Windows XP и Windows 2000 не перезагружайте компьютер. Вместо этого выполните следующие действия:
Наберите: ipconfig /flushdns
Нажмите ENTER.
Для операционных систем Windows Millennium Edition, Windows 98 или Windows 95
Щелкните «Пуск», затем щелкните «Выполнить».
В поле «Открыть» наберите: command.
Щелкните OK. Появится черное окно командной строки, в которой отображается C:\…>.
Наберите cd \ и нажмите ENTER. Текущая папка изменится на C:\, отобразится курсор.
Щелкните курсор и наберите: del c:\windows\hosts
Нажмите ENTER.
Удаление червя Doomjuice.A с компьютера вручную
Предупреждение: неправильное использование редактора реестра может привести к серьезным проблемам, для устранения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Редактор реестра используется на ваш собственный риск.

Рекомендуется для удаления червя Mydoom использовать антивирусные программы. Однако опытные пользователи для удаления червя Doomjuice.A могут выполнить следующие шаги:

С помощью диспетчера задач завершите работу программы intrenat.exe
Удалите файл intrenat.exe %windir%\system32 (для Windows NT, Windows 2000, Windows XP) или %windir%\system (Windows 95/98/ME).
В редакторе реестра удалите следующий раздел реестра: HKey_Local_Machine\gremlin HKey_Current_User, Key\gremlin
Удалите файл sync-src-1.00.tbz в корневом каталоге каждого жесткого диска и корневой папке профиля пользователя.
Дополнительную информацию смотрите на веб-узлах разработчиков антивирусных программ
При заражении компьютера червем Mydoom.A или Mydoom.B ;и необходимости технической помощи обращайтесь к вашему разработчику антивирусных программ или в службу поддержки продуктов Microsoft для помощи в удалении червя.

В службы поддержки продуктов Microsoft с США и Канаде можно бесплатно позвонить по телефону (866) PCSAFETY (727-23-38).

За пределами США и Канады посетите веб-узел службы поддержки продуктов Microsoft.

Дополнительная информация и ресурсы могут быть получены от разработчиков антивирусного программного обеспечения, участвующих в программе Microsoft Virus Information Alliance:

McAfee
Trend Micro
Symantec
Computer Associates
Причины выпуска данного предупреждения
Червь Doomjuice.A является новой разновидностью, которая использует компьютеры, зараженные вирусом Mydoom.A, для начала распределенных атак, направленных на отказ сервера от обслуживания.

Варианты Mydoom.A и Mydoom.B продолжают распространяться по электронной почте, червь Mydoom.B продолжает поиск компьютеров, зараженных вирусом Mydoom.A, который затем заменяется червем Mydoom.B. Черви, подобные Mydoom, рассчитаны на то, что пользователь откроет вложенную программу, часто имеющее расширение .zip. При открытии вложенного файла червь устанавливает в систему пользователя собственный код и рассылает себя по всем контактам в адресной книге. Черви Mydoom.A и Mydoom.B оставляют на зараженном компьютере файл, который может позволить посторонним лицам получить доступ к компьютеру. Как сообщается, червь Mydoom.B также блокирует доступ к некоторым веб-узлам, включая веб-узел Microsoft.com и веб-узлы некоторых разработчиков антивирусных программ.

Возможная распределенная атака, направленная на отказ веб-узла Microsoft.com от обслуживания
Корпорация Майкрософт изучает сообщения о том, что компьютеры, зараженные вариантами червя Mydoom.B и Doomjuice.A, предпринимают распределенные атаки (DDOS), направленные на отказ веб-узлов Microsoft от обслуживания. Хотя корпорация Майкрософт не может обсуждать детали защитных мер, направленных на предотвращение атак DDOS, мы делаем все возможное для того, чтобы сохранить ресурсы корпорации Майкрософт доступными для всех пользователей. Корпорация Майкрософт активно работает с участниками программы Virus Information Alliance, чтобы помочь пользователям защититься от этого вируса.

Что означает Severity Ratings (степень серьезности)
Предельная. Найдено уязвимое место продукта Microsoft, либо обновление недоступно; известно два или более пути заражения; возможен новый путь заражения; высокая вероятность распространения; возможность уничтожения ценных данных; длительный перерыв в обслуживании.

Средняя. Найдено потенциально уязвимое место в продукте Microsoft; известен один или два пути заражения; возможен новый путь заражения; высокая или средняя степень распространения; уничтожения ценных данных не произошло; не произошел длительный перерыв в обслуживании.

Низкая. Не найдено уязвимых мест в продукте Microsoft; известен только один путь заражения; новые пути заражения не найдены; возможность распространения низкая; уничтожение ценных данных не произошло; не произошло значительного перерыва в обслуживании.
---------------------------------------------------------

Взято с http://www.Microsoft.com/rus
Инфа не очень свежая, но может оказаться полезной

ты б лучше писал как избавлятся

Неужели обнаружил у себя? :o
ты б лучше писал как избавлятсяНемнимательно, батенька, читаем... ;) смари выше
Рекомендуется для удаления червя Mydoom использовать антивирусные программы. Однако опытные пользователи для удаления червя Doomjuice.A могут выполнить следующие шаги:
... 8)

точно