Přihlásit se

Mimail – poštovní červ schovaný v HTML

4. srpna 2003
Seznam změnil vzhled svého e-mailu SDÍLET NA FACEBOOKU TWEETNOUT
Na konci minulého týdne se začal masově šířit nový poštovní červ W32.Mimail.A. Za prvních 7 hodin odchytila služba MessageLabs 3200 ks v 18 zemích světa a v tabulce obsadil jako novinky 4 místo. V sobotu v poledne již figuroval na 1. místě žebříčku s 21 700ks ve 44 zemích světa, z toho 90% v USA V neděli klesl až na 3. místo, ale myslím si, že v pracovních dnech se opět vyšplhá nahoru.

Zajímavý je způsob uložení spustitelného souboru uvnitř HTML souboru a jeho následné spuštění skriptem uloženým tamtéž. Je to první vir resp. poštovní červ, který tento trik používá.

Předmět začíná textem „your account

Text zprávy je:

Hello there,

I would like to inform you about important information regarding your

email address. This email address will be expiring.

Please read attachment for details.

---

Best regards, Administrator

Přílohou je soubor message.zip o velikosti asi 16 kB.

V tomto archivu je soubor message.html, který je-li spuštěn ve verzi Internet Exploreru neošetřených proti chybám codebase exploit (popis v MS Security Bulletinu MS02-015) a MHTML exploit (MS03-014), vytvoří na lokálním disku (v Temporary Internet Files) soubor foo.exe a pomocí uvnitř uloženého skriptu jej i spustí.

Uživatel mezitím spatří v IE stránku s textem No message.

Foo.exe pak vytvoří v adresáři OS Windows (standardně C:\Windows resp. C:\WinNT) kopii červa - soubor videodrv.exe a zajistí jeho spuštění při dalším startu Windows zápisem do registru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Také vytvoří soubory exe.tmp (20 445 B) a zip.tmp (20 567 B). Následně vyhledává červ e-mailové adresy dalších potencionálních obětí, a to ve všech souborech na lokálním disku kromě několika vyjmenovaných typů:

AVI, BMP, CAB, COM, DLL, EXE, GIF, JPG, MP3, MPG, OCX, PDF, PSD, RAR, TIF, VXD, WAV, ZIP

Záplata proti chybě využívané tímto virem je už delší dobu na světě. Nejlepší ovšem bude jako prevenci i proti dosud neznámým virům, které budou v budoucnu využívat tuto i další nedostatky v Internet Exploreru (a ve s ním spojeném Outlook Expressu) použít poslední kumulativní záplatu. Zde jsou odkazy pro stažení:

  • Internet Explorer 5.01 SP3 (Windows 2000 SP3) CZ, US
  • Internet Explorer 5.5 SP2 CZ, US
  • Internet Explorer 6.0 CZ, US
  • Internet Explorer 6.0 SP1 CZ, US

Diskuze (11) Další článek: Seznam změnil vzhled svého e-mailu

Témata článku: Microsoft, Internet Explorer, Please, Hella, Neznámý vir, Attachment, HTM, Červ, Inform, Hell, Uložení, Hello, Následné uložení, Mim, RAR




Doporučujeme

Dubnový Computer

Aktuální číslo časopisu Computer

Jak používat VR k práci

Megatest 18 levných monitorů

Test lokátorů s Bluetooth

Průvodce nákupem RAM

Kupte si časopis nebo předplatné

O webu


AVmania.cz

Proč si předplatit Netflix? Třeba kvůli těmto filmům. Všechny mají dabing nebo české titulky

AVmania.cz

Vybrali jsme nejlepší bezdrátová sluchátka. Od nejlevnějších za pár stovek až k Apple AirPods Max

SportRevue.cz

Svatá přírodo! Petra Kvitová a 30 dalších nejprsatějších sportovkyň všech dob

Blesk.cz

Šokující oznámení Andreje Babiše: Po 30 letech jdou s Monikou od sebe!

Reflex.cz

Martin Bartkovský: 30 důvodů, proč se rozpadlo manželství Andreje Babiše a Moniky Babišové

Reflex.cz

Evropská superdebata: Dostálová překvapila svou angličtinou, Vondra si notoval s Pirátkou, Mach komikem

Živě.cz

Z kola za 30 sekund elektrokolo. Stačí namontovat motor na sedlovku

Živě.cz

Jaderná elektrárna Temelín: Prošli jsme 10 vrstvami až do otevřeného reaktoru

Auto.cz

Martin Vaculík a ojetá Škoda Octavia G-Tec: Další oběť konfliktu?

Auto.cz

Nejúspěšnější cupra se chlubí nevídaně bohatou škálou motorů. Skvělá je i ojetá