Mimail – poštovní červ schovaný v HTML

Na konci minulého týdne se začal masově šířit nový poštovní červ W32.Mimail.A. Za prvních 7 hodin odchytila služba MessageLabs 3200 ks v 18 zemích světa a v tabulce obsadil jako novinky 4 místo. V sobotu v poledne již figuroval na 1. místě žebříčku s 21 700ks ve 44 zemích světa, z toho 90% v USA V neděli klesl až na 3. místo, ale myslím si, že v pracovních dnech se opět vyšplhá nahoru.

Zajímavý je způsob uložení spustitelného souboru uvnitř HTML souboru a jeho následné spuštění skriptem uloženým tamtéž. Je to první vir resp. poštovní červ, který tento trik používá.

Předmět začíná textem „your account

Text zprávy je:

Hello there,

I would like to inform you about important information regarding your

email address. This email address will be expiring.

Please read attachment for details.

---

Best regards, Administrator

Přílohou je soubor message.zip o velikosti asi 16 kB.

V tomto archivu je soubor message.html, který je-li spuštěn ve verzi Internet Exploreru neošetřených proti chybám codebase exploit (popis v MS Security Bulletinu MS02-015) a MHTML exploit (MS03-014), vytvoří na lokálním disku (v Temporary Internet Files) soubor foo.exe a pomocí uvnitř uloženého skriptu jej i spustí.

Uživatel mezitím spatří v IE stránku s textem No message.

Foo.exe pak vytvoří v adresáři OS Windows (standardně C:\Windows resp. C:\WinNT) kopii červa - soubor videodrv.exe a zajistí jeho spuštění při dalším startu Windows zápisem do registru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Také vytvoří soubory exe.tmp (20 445 B) a zip.tmp (20 567 B). Následně vyhledává červ e-mailové adresy dalších potencionálních obětí, a to ve všech souborech na lokálním disku kromě několika vyjmenovaných typů:

AVI, BMP, CAB, COM, DLL, EXE, GIF, JPG, MP3, MPG, OCX, PDF, PSD, RAR, TIF, VXD, WAV, ZIP

Záplata proti chybě využívané tímto virem je už delší dobu na světě. Nejlepší ovšem bude jako prevenci i proti dosud neznámým virům, které budou v budoucnu využívat tuto i další nedostatky v Internet Exploreru (a ve s ním spojeném Outlook Expressu) použít poslední kumulativní záplatu. Zde jsou odkazy pro stažení:

  • Internet Explorer 5.01 SP3 (Windows 2000 SP3) CZ, US
  • Internet Explorer 5.5 SP2 CZ, US
  • Internet Explorer 6.0 CZ, US
  • Internet Explorer 6.0 SP1 CZ, US

Klepněte pro větší obrázek

Diskuze (11) Další článek: Seznam změnil vzhled svého e-mailu

Témata článku: Microsoft, Internet Explorer, Hell, RAR, Hello, Hella, Inform, Please, Následné uložení, Červ, Attachment, Uložení

Určitě si přečtěte


Aktuální číslo časopisu Computer

Zachraňte nefunkční Windows

Jak nakupovat a prodávat kryptoměny

Otestovali jsme konvertibilní notebooky

Velký test 14 herních myší