Mimail – poštovní červ schovaný v HTML

Na konci minulého týdne se začal masově šířit nový poštovní červ W32.Mimail.A. Za prvních 7 hodin odchytila služba MessageLabs 3200 ks v 18 zemích světa a v tabulce obsadil jako novinky 4 místo. V sobotu v poledne již figuroval na 1. místě žebříčku s 21 700ks ve 44 zemích světa, z toho 90% v USA V neděli klesl až na 3. místo, ale myslím si, že v pracovních dnech se opět vyšplhá nahoru.

Zajímavý je způsob uložení spustitelného souboru uvnitř HTML souboru a jeho následné spuštění skriptem uloženým tamtéž. Je to první vir resp. poštovní červ, který tento trik používá.

Předmět začíná textem „your account

Text zprávy je:

Hello there,

I would like to inform you about important information regarding your

email address. This email address will be expiring.

Please read attachment for details.

---

Best regards, Administrator

Přílohou je soubor message.zip o velikosti asi 16 kB.

V tomto archivu je soubor message.html, který je-li spuštěn ve verzi Internet Exploreru neošetřených proti chybám codebase exploit (popis v MS Security Bulletinu MS02-015) a MHTML exploit (MS03-014), vytvoří na lokálním disku (v Temporary Internet Files) soubor foo.exe a pomocí uvnitř uloženého skriptu jej i spustí.

Uživatel mezitím spatří v IE stránku s textem No message.

Foo.exe pak vytvoří v adresáři OS Windows (standardně C:\Windows resp. C:\WinNT) kopii červa - soubor videodrv.exe a zajistí jeho spuštění při dalším startu Windows zápisem do registru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Také vytvoří soubory exe.tmp (20 445 B) a zip.tmp (20 567 B). Následně vyhledává červ e-mailové adresy dalších potencionálních obětí, a to ve všech souborech na lokálním disku kromě několika vyjmenovaných typů:

AVI, BMP, CAB, COM, DLL, EXE, GIF, JPG, MP3, MPG, OCX, PDF, PSD, RAR, TIF, VXD, WAV, ZIP

Záplata proti chybě využívané tímto virem je už delší dobu na světě. Nejlepší ovšem bude jako prevenci i proti dosud neznámým virům, které budou v budoucnu využívat tuto i další nedostatky v Internet Exploreru (a ve s ním spojeném Outlook Expressu) použít poslední kumulativní záplatu. Zde jsou odkazy pro stažení:

  • Internet Explorer 5.01 SP3 (Windows 2000 SP3) CZ, US
  • Internet Explorer 5.5 SP2 CZ, US
  • Internet Explorer 6.0 CZ, US
  • Internet Explorer 6.0 SP1 CZ, US

Klepněte pro větší obrázek

Diskuze (11) Další článek: Seznam změnil vzhled svého e-mailu

Témata článku: Microsoft, Internet Explorer, Následné uložení, RAR, Inform, Neznámý vir, Mim, Hella, Červ, Hello, Attachment, Hell, Uložení, Please


Určitě si přečtěte

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

** Chudí Američané mohou dosáhnout na dotovaný mobil ** Jeden takový rozdává třeba tamní Virgin Mobile ** Má to jeden háček. Je prošpikovaný malwarem

Jakub Čížek | 42

Pojďme programovat elektroniku: Rádiový čip, který má skoro každá bezdrátová myš

Pojďme programovat elektroniku: Rádiový čip, který má skoro každá bezdrátová myš

** Bezdrátové myši řídí čip od Nordic Semiconductors ** Jeho rádiové vysílače si před lety oblíbila i komunita kutilů ** Dnes si je vyzkoušíme v praxi

Jakub Čížek | 9

Podívejte se, jak umírá váš laptop. Desítky na to mají mocný nástroj powercfg

Podívejte se, jak umírá váš laptop. Desítky na to mají mocný nástroj powercfg

** Hardware současných laptopů už tak rychle nestárne ** Tedy až na baterie – ty umírají děsivou rychlostí ** Ve Windows to můžete sledovat skoro v přímém přenosu

Jakub Čížek | 69

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

** K odposlechu mozků používáme EEG ** To má ale žalostné informační rozlišení ** Rusům pomohla počítačová neuronová síť

Jakub Čížek | 29

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

** Strojové učení ještě nepřitáhlo takový zájem jako na začátku prázdnin ** Ne, umělá inteligence nenašla lék na rakovinu ** Naučila se svlékat ženy nejen z plavek

Jakub Čížek | 35

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 7



Aktuální číslo časopisu Computer

Test 9 bezdrátových reproduktorů

Jak ovládnout Instagram

Test levných 27" herních monitorů

Jak se zbavit nepotřebných věcí na internetu