Šodien mana darba kolēģe pajautāja, kas tas par failu ar paplašinājumu *.eml.
Viņa vēl teica, ka tas fails ir parādījies pēkšņi un daudzās vietās. Ievērtēju viņas datoru un uz meklējumu *.eml atradu nedaudz vairāk par 760 failiem, kas bija ar dažādiem nosaukumiem, bet visiem bija vienāds izmērs 78kb un paplašinājums *.eml. Un tie visi bija izveidoti vienā datumā un ar vienādu laiku...

Lai uzzinātu, kas tas par vīrusu bija ielīgu mīļajā google.com un meklēju .eml +virus un apskatīju atrastos rezultātus.
Gandrīz visos bija minēts šis maģiskais vārdiņš Nimda. (Līdz šim biju dzirdējis, ka šis vīruss incicē tikai web serverus.) Daudzos saitos bija arī aprakstīts kā viņu ārstēt. Vislabāk man patika šī versija, kas ir aprakstīta McAfee saitā. Īsumā mēģināšu atstāstīt + izskaidrot ko meklēt.

Nimda is watching you!

Tātad, ja atverot savu emailu ar outgļuku un mēģinot atvērt kādu failu ar *nezināmu* paplašinājumu tev verās Microsoft Media Player vai kāda līdzīga media failu atskaņošanas programma, tad ir ļooooti liela varbūtība, ka tas ir inficēts fails, jo vīruss izmanto kļūdu Microsoft Outlook MIME headeru tulkošanā vai parsēšanā nezinu kā labāk. Diemžēl ļoti daudzās vietās cilvēki ir spiesti lietot outgļuku, jo vienkārši nav alternatīvas. (par mājas lietotāju viss ir skaidrs :) )

Search for Nimda

Lai pārliecinātos vai ir vīruss ņemam un pameklējam *.eml failiņus.
Spiežam Windows taustiņš + F un meklējam *.eml
Bildītē var redzēt daudzos failus ar vienādo izmēru un paplašinājumu. Ja gadījumā šāda lieta dzīvo arī tavā datorā, tad ir laiks aizvērt outgļuku un uztaisīt kafiju vai atkorķēt alus pudeli, jo garlaicīgi nebūs :) ...

Veram droši vaļā augstāk minēto McAfee saitu, kur ir aprakstīts, kas un kā jādara. Lai cīnītos būs vēl nepieciešami ieroči tos var atrast šeit.

Turpmāk rakstītais varētu attiekties uz Windows 9x/ME versijām. Par pārējām iespējams līdzīgi, bet iespējams, ka nemaz nevar inficēties. Nu nezinu es :)

Scanning .... Nimda found

Tātad cīnamies:
1. Atarhivējam šo arhīvu teiksim uz c diska.
2. Atveram dos logu
Start -> run -> command (vai cmd zem WinNT/2k/XP)
3. cd nimdascn (attiecīgā direktorija, kur tika atarhivēts šis arhīvs)
4. Skanējam ar šādu komandu: nimdascn /verbose (ar šo komandu mēs noskanēsim savu kompīti un redzēsim paziņojumus)
5. noskanējam vēlreiz un vajadzētu parādīties uzrakstam, ka vīruss nav atrasts.
6. Atrodam visus failus ar paplašinājumu .eml un izdzēšam tos:
Windows taustiņš + F (windows taustiņš ir tas, kas atrodas klaviatūras kreisajā apakšējā pusē starp Ctrl un Alt. Ja šāda taustiņa nav, tad Start -> Search -> Files
7. Pārstartējam datoru un spiežam F8 lai tiktu Safe mode.
8. Vēlreiz veicam iepriekšējos soļus no 2-6
9. Tagad vajadzētu vēl atrast tādu failu kā README.EXE kas sver aptuveni 56KB un arī izdzēšam to.
10. Pārstartējam datoru un pārliecinamies vai nav palicis vīruss. Attiecīgi atkārtojam soļus no 2-6.

Principā tas varētu nostrādāt.
Par to README.EXE es uzzināju pie datora pārstartēšanas, kad outgļuks tika automātiski palaists un parādījās lejuplādes lodziņš kur jautāja vai saglabāt šo te readme.exe. Tā kā iespējas, ka šis nosaukums var būt arī savādāks. Bet nu ceru, ka domu sapratāt.

Droši vien, ka tīklā bija atrodams labāk risinājums tapēc nevajg mani apmētāt ar akmeņiem, bet vienkārši iesakiet labāku risinājumu. Visi risinājumi tiek akceptēti ar vienu nosacījumu - tiem jābūt *freeware* ;-)