Antivirové společnosti varují před červem Beagle.AB

Emailový červ, kterého antivirové společnosti označily názvem Beagle.AB, dosáhl vyššího stupně hodnocené nebezpečnosti převážně kvůli spektru prováděných činností. Opět se jedná o hromadně se šířícího emailového červa, který otevírá zadní vrátka do počítače na TCP portu 1080.

Červ se po svém spuštění usídlí do těchto souborů:

  • %System%\sysxp.exe
  • %System%\sysxp.exeopen (kopie s náhodně připojenými daty)
  • %System%\sysxp.exeopenopen (zip soubor s červem)
  • %System%\sysxp.exeopenopenopen (obrázek jpg, gif nebo bmp)

Ihned po spuštění se červ zaměří na systémové registry, kde hledá záznamy spojené s antivirovými či bezpečnostními programy. Ty hned po nalezení maže, čímž snižuje riziko svého odhalení. Vyhledávanými řetězci jsou: "My AV", "Zone Labs Client Ex", "9XHtProtect", "Antivirus", "Special Firewall Service", "service", "Tiny AV", "ICQNet", "HtProtect", "NetDy", "Jammer2nd", "FirewallSvr", "MsInfo", "SysMonXP", "EasyAV", "PandaAVEngine", "Norton Antivirus AV", "KasperskyAVEng", "SkynetsRevenge", "ICQ Net". V registrech červ myslí také na sebe a proto sám sebe zaregistruje pro automatické spouštění po startu Windows.

Na TCP portu 1080 otevírá zadní vrátka do počítače, která kromě jiného umožní využívat počítač jako email relay.

Pokud je napadený počítač připojený k internetu, pokouší se červ přistupovat na PHP skripty na více než 140 předdefinovaných webových adresách. Pro zamezení jednoduchého odhalení se červ navíc pokouší přímo ukončit procesy antivirových a bezpečnostních programů, kterých má nadefinováno více než 220.

Reprodukční rutina zůstává hodně podobná jako u předchozích verzí – červ prochází lokální disk, na kterém hledá emailové adresy. Na ně se následně rozesílá pomocí vlastního SMTP engine v emailu s následující charakteristikou:

Od: <vymyšleno> Předmět: (jedna z následujících možností)

  • Re: Msg reply
  • Re: Hello
  • Re: Yahoo!
  • Re: Thank you!
  • Re: Thanks :)
  • RE: Text message
  • Re: Document
  • Incoming message
  • Re: Incoming Message
  • RE: Incoming Msg
  • RE: Message Notify
  • Notification
  • Changes..
  • Update
  • Fax Message
  • Protected message
  • RE: Protected message
  • Forum notify
  • Site changes
  • Re: Hi
  • Encrypted dokument

Tělo zprávy následně informuje o vložené příloze, která může být typu EXE, SCR, COM, CPL nebo ZIP. Nezapomeňte aktualizovat váš antivirový program.

Diskuze (13) Další článek: Padající ceny PC stojí za silným růstem prodejů počítačů v Evropě

Témata článku: Obrázek jpg, Červ, Spol, Hello, ANT +, Vyhledávaný text, Hell, Thank You, Message, Hella, Podobné hodnocení, Relay


Určitě si přečtěte

Porovnání deseti cloudových disků: kam a za kolik uložit 100 GB, 1 TB a 10 TB dat?

Porovnání deseti cloudových disků: kam a za kolik uložit 100 GB, 1 TB a 10 TB dat?

** Zjistili jsme, kam do cloudu nejvýhodněji uložíte data ** Vytvořili jsme žebříček cen deseti cloudových úložišť ** Ceny se liší - často i velice výrazně!

Karel Kilián | 102

DeOldify: Téměř zázračná technologie, která obarvuje 2. světovou válku, nebo vaše fotky z dětství

DeOldify: Téměř zázračná technologie, která obarvuje 2. světovou válku, nebo vaše fotky z dětství

** Neuronová síť DeOldify obarvuje fotky ** Můžete si ji vyzkoušet sami i bez superpočítače ** YouTube je plný obarvených ikonických videí

Jakub Čížek | 20


Aktuální číslo časopisu Computer

Megatest mobilů do 8 000 Kč

Test bezdrátových headsetů

Linux i pro začátečníky

Jak surfovat anonymně