Wstęp

W ostatnim czasie bardzo nasiliła się aktywność wiadomości-śmieci w naszych skrzynkach pocztowych, a to za sprawą wirusa W32/Mydoom@MM. Ten internetowy robak rozprzestrzenia się za pośrednictwem poczty elektronicznej i może podszywać się pod adres nadawcy wykorzystując taktykę znaną jako spoofing, tworząc wiadomości pocztowe, które mogą wyglądać na wysłane przez inne osoby. Wiele z adresów, których używa robak Mydoom to prawidłowe adresy, które są celowo fałszowane. Nasz adres też może trafić "w ręce" robaka, co niesie za sobą multum komunikatów przesyłanych do naszej skrzynki pocztowej.
Najnowsza odmiana robaka Mydoom, odkryta w ubieły piątek, dalej się rozprzestrzenia i kasuje pliki z komputerów użytkowników na całym świecie. Ten wariant Mydoom.F, powołując się na korporację F-Secure, nie tylko próbuje wywołać atak typu DoS na serwery firm Microsoft oraz RIAA, ale także kasuje dokumenty (.XLS, .DOC) i obrazki (.JPG) z lokalnego dysku.
Poniżej przedstawiam sposoby ochrony przed tego typu wirusami oraz metody automatycznego usuwania niechcianych wiadomości-śmieci z naszej skrzynki, a także sposoby usuwania wirusa Mydoom z naszego komputera.
 

Zalecane ustawienia zabezpieczeń programów pocztowych Outlook / Outlook Express

Outlook Express 6

1. Aby użyć listy niebezpiecznych plików programu IE do filtrowania załączników e-mail:
Uruchom program Outlook Express, a następnie w menu Narzędzia kliknij polecenie Opcje.
Kliknij kartę Zabezpieczenia, a następnie kliknij, aby zaznaczyć pole wyboru 'Nie zezwalaj na zapisywanie lub otwieranie załączników, które mogą mogą potencjalnie zawierać wirusy' w obszarze 'Ochrona przed wirusami'.

Aby dodać blokowanie plików ZIP (rozsyła je właśnie robak Mydoom) :
a. Kliknij Start -> Ustawienia -> Panel sterowania -> przełącz się na opcję Widok klasyczny -> kliknij dwukrotnie pozycję Opcje folderów.
b. Na karcie Typy plików kliknij, aby zaznaczyć typ plików ZIP, a następnie kliknij przycisk Zaawansowane. 
c. Kliknij przycisk OK, a następnie kliknij przycisk Zaawansowane.
d. Kliknij, aby zaznaczyć (zablokować) pole wyboru Potwierdź otwarcie po pobraniu (lub usunąć zaznaczenie aby odblokować załączniki tego typu).

2. Aby zapobiec wysyłaniu wiadomości e-mail z aplikacji bez uprzedniej aprobaty:
Uruchom program Outlook Express, a następnie w menu Narzędzia kliknij polecenie Opcje.
Kliknij kartę Zabezpieczenia, a następnie kliknij, aby zaznaczyć pole wyboru 'Ostrzegaj mnie, kiedy inne aplikacje próbują wysłać pocztę w moim imieniu'.
Kliknij przycisk OK, aby zamknąć okno dialogowe Opcje.

Outlook 2002

Program Outlook 2002 zawiera nową funkcję zabezpieczeń, która blokuje załączniki uważane za niebezpieczne. Po otrzymaniu wiadomości e-mail, która zawiera plik jednego z blokowanych typów, może pojawić się następujący komunikat o błędzie:
Program Outlook zablokował dostęp do następujących, potencjalnie niebezpiecznych załączników: [...]
Uwaga : Mimo że dostęp do załącznika jest zablokowany, sam załącznik pozostaje w wiadomości. W artykule KB290497 zestawiono informacje potrzebne, aby uzyskać dostęp do załącznika.

Outlook 2000 oraz Outlook XP

Outlook 2000 SP3 i nowsze, oraz Outlook XP SP1 zawierają najnowsze uaktualnienia służące poprawie bezpieczeństwa programu Outlook oraz innych programów z pakietu Microsoft Office. Obejmują one także funkcję blokowania potencjalnie niebezpiecznych załączników. Funkcja ta może zostać skonfigurowana w taki sposób, aby blokowała załączniki o rozszerzeniu .zip, chociaż nie jest to jej działanie domyślne.

Outlook 2000 sprzed Service Release 1 (SR1) oraz Outlook 98 nie posiadają w standardzie tej funkcji. Może być ona jednak uzyskana przez zainstalowanie Outlook E-Mail Security Update.

Outlook 2003

W programie Outlook 2003 został zaimplementowany najbardziej rozbudowany system ochrony przed wirusami oraz filtrowania wiadomości-śmieci. Aby skorzystać z dobrodziejstw automatycznego filtru należy kliknąć Akcje (Actions) -> Wiadomości-śmieci... (Junk e-mail...) -> Opcje wiadomości-śmieci (Junk e-mail options), a następnie kilknąć na zakładce Opcje (Options) i ustawić poziom ochrony antyspamowej na Wysoki (High). Przy takim ustawieniu większość wiadomości-śmieci jest automatycznie przechwytywana, jednak zalecane jest regularne zaglądanie do folderu Wiadomości-śmieci (Junk-email).
 

Jak pozbyć się niechcianych wiadomości ze Skrzynki odbiorczej ?

Uruchom program Outlook / Outlook Express, a następnie kliknij Narzędzia -> Reguły wiadomości -> Poczta -> Nowa...

W oknie Nowa reguła poczty zaznaczamy (jak widać na poniższym rysunku) :
1.Wybierz warunki...  : Kiedy w polu Temat znajdują się określone wyrazy
2.Wybierz akcję...  : Przenieś do folderu

Następnie w punkcie 3.Opis reguły... klikamy na podkreśloną frazę znajdują się określone wyrazy.

Tworzenie nowej reguły poczty w programie Outlook Express 6

W oknie 'Wpisywanie określonych wyrazów' wpisujemy frazę SPAM i klikamy na Dodaj. Analogicznie dodajemy następujące frazy:

- Wyniki skanowania systemu antywirusowego
- Wysłałeś przesyłkę zarażoną wirusem
- ochrona antywirusowa
- delivery failure
- delivery status notification
- returned mail
- mail delivery
- undeliverable
- Notification d'état de la distribution
- mail failed
- mail transaction failed
- virus found
- Dissallowed attachement
- Error
- server report
- test
- hello

UPDATE 1:
- hi
- virus alert
- VIRUS
- Status
- obvujvtnqlpfvkzhv
- spam
- SPAM
- [SPAM]
- Non delivery report
- Blocked attachment

UPDATE 2 (26.02.2004):
- Non delivery report
- Delivery reports
- failure notice
- Warning: message
- fake
- unknown
- warning
- read it
- information
- stolen
- approved
- worm.somefool
- EHFTPFBBAMWWYO
- jfrzrsu
- Niedozwolona zawartosc
- unable to deliver message

Po dodaniu wszystkich klikamy OK.

Teraz klikamy na podkreślone słowo folderu i w oknie Przenoszenie wybieramy Foldery lokalne -> Skrzynka odbiorcza, a następnie klikamy Nowy folder i wpisujemy nazwę np. SPAM.

Klikamy kilka razy OK, aby przejść do okna Reguły wiadomości. Ew. w punkcie 4. można nazwać nową regułę np. Przenoszenie SPAMu.

Teraz z listy wybieramy utworzoną regułę i klikamy Zastosuj. Wybieramy folder Skrzynka odbiorcza i klikamy Zastosuj teraz... Wiadomości spełniające podane wyżej warunki będą przeniesione do folderu SPAM. Utworzona reguła będzie także stosowana do wszystkich wiadomości przychodzących.
Od czasu do czasu warto więc zaglądać do folderu SPAM, ponieważ filtr antyspamowy dostawcy usług pocztowych (np. onet.pl) mógł błędnie zakwalifikować wiadomość przesyłaną do nas jako spam i dodać do jej tematu słowo SPAM, co powoduje przeniesienie takiej wiadomości przez program Outlook do folderu SPAM (zgodnie z utworzoną wcześniej regułą).
 

Usuwanie robaka Mydoom

Jeśli zachodzi podejrzenie, że Twój komputer został zainfekowany wirusem Mydoom upewnij się, że posiadasz najnowsze definicje wirusów do swojego programu antywirusowego, a następnie przeskanuj wszystkie lokalne dyski twarde.

Możesz też użyć specjalnego narzędzia do usuwania robaka W32.Mydoom firmy Symantec:

Download : MyDoom (A,B,F) Worm Removal Tool 1.0.6.0

Jak użyć narzędzia FxMydoom:
1. Zamknij wszystkie używane programy przez uruchomienie narzędzia.
2. Jeśli jesteś podłączony na stałe do sieci i/lub Internetu, odłącz komputer z sieci i/lub Internetu.
3. Jeśli używasz Windows ME/XP, wyłącz funkcję 'Przywracanie systemu' ('System Restore'):
Mój komputer -> Właściwości -> Przywracanie systemu -> zaznacz opcję 'Wyłącz Przywracanie systemu na wszystkich dyskach'
4. Uruchom program FxMydoom.exe i naciśnij przycisk Start, aby rozpocząć skanowanie.
5. Po zakończeniu skanowania uruchom ponownie komputer.
6. Dla pewności uruchom jeszcze raz program FxMydoom.exe.
7. Włącz funkcję 'Przywracanie systemu' w Windows ME/XP (analogicznie do punktu 1, tylko odznacz ww.opcję).

Narzędzie do usuwania natrętnego robaka wydał tez Microsoft.

Download : MyDoom (A,B,C) Worm Removal Tool 3.0 (110KB)

Opis : Narzędzie to pomoże Ci usunąć robaka MyDoom.A/MyDoom.B/MyDoom.C (Doomjuice.A/B) z zainfekowanych systemów Windows 2000, Windows 98, Windows 98 Second Edition, Windows ME, Windows Server 2003 oraz Windows XP. Użytkownik musi mieć prawa administratora, aby uruchomić to narzędzie.
 

Podsumowanie

Po zaaplikowaniu omówionych powyżej reguł, tylko nieliczne niechciane wiadomości lądują w mojej Skrzynce odbiorczej. Reszta SPAMu po prostu zostaje przerzucona przy odbieraniu poczty do folderu SPAM, co pozwala mi się się skupić na czytaniu tylko istotnych wiadomości.
Mam nadzieję, że powyższe porady pomogą Wam przynajmniej częściowo oczyścić swoją skrzynkę z wiadomości-śmieci oraz ustrzec się przed wirusem Mydoom.

Na podst. : własnych doświadczeń z używania programu Outlook Express oraz
witryny http://www.microsoft.com/poland/security/mydoom.asp
Wersja artykułu : 1.5
Ostatnia aktualizacja : 08.12.2005
Ostatnie zmiany : dodano kolejne frazy podlegające filtrowaniu oraz nowe linki do narzędzi
Wydanie oryginalne: wersja 1.0 (03.02.2004)

GreGM © 2004