Červ MyDoom – 22 kB zkázy v příloze

Masivně se šířící červ MyDoom opět ukázal, že školení o nebezpečnosti pošty je málo a jedno navíc nikdy neuškodí. Následující popis je tedy napsán tak, aby tohoto červa dokázal identifikovat i neodborný uživatel a v případě nákazy se dokázal ubránit.
Červ MyDoom – 22 kB zkázy v příloze

V současné době je červ MyDoom (označovaný také jako Novarg či SCO) nejvíce se šířícím virem na planetě a úspěšně atakuje žebříčky nejaktivnějších virů všech dob. Ač obsahuje určité nové techniky vlastního rozesílání, stále spoléhá na nejslabší článek bezpečnosti - člověka, který ho sám z e-mailu spustí.

Jak ho poznám

Viry, které používají náhodné předměty zpráv, náhodné názvy souborů pro přípony a různý text v těle zpráv se upřímně dost špatně rozpoznávají. Tento červ má také docela velkou variabilitu a mění názvy dle potřeby. Záměrem jeho autora především bylo, aby vypadal jako obyčejné chybové hlášení o špatném e-mailu.

Základní rozpoznávací znaky jsou:

Velikost zprávy je mezi 22 a 23 kB. Velikost souboru v příloze je vždy 22528 bajtů. Příloha má často lákavě obyčejnou ikonku textového souboru, na kterou skočí i zkušenější uživatel. Soubor v příloze se například jmenuje message.scr a nese ikonku textového dokumentu.  Opatrnost velí vždy kontrolovat celý název souboru, a pokud končí na .exe, .bat, .pif, .scr, .com, .cmd, rozhodně jej nespouštět. Tento červ využívá také jinak bezpečnou příponu .zip. Soubory mají obvykle jméno:

  • document
  • readme
  • doc
  • text
  • file
  • data
  • test
  • message
  • body

Obsahem těla zprávy je buď nic nebo jeden z textů:

test

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Poznámka: poslední tři texty jsou smysluplné chybové hlášky a najdete je občas i v normálních, jen špatně poslaných e-mailech. Pro tentokrát je ale můžete automaticky pokládat za podezřelé.

Objevují se ale také varianty, kdy přijde v těle zprávy spousta nesmyslných znaků.

V případě, že spustíte soubor z přílohy e-mailu, poznáte tento konkrétní virus jednoduše. Otevře se vám Poznámkový blok, ve kterém uvidíte nesmyslný text souboru:

Klepněte pro větší obrázek

Kam se zavrtá

Po spuštění se virus usídlí na řadě míst systému:

  • Nakopíruje se do systémové složky Windows (třeba c:\Windows\system) jako taskmon.exe
  • Do stejné složky uloží i vlastní DLL knihovnu shimgapi.dll (4096 bajtů)
  • Nastaví se v registrech pro spouštění při startu systému
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe
    nebo
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe
  • Začlení DLL do základního programu Explorer.exe pro obsluhu pracovní plochy a práci se složkami:
    HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll
  • Nakopíruje se do sdílené složky programu Kazaa (c:\Program Files\KaZaA\My Shared Folder) jako následující soubory se spustitelnou příponou (pif, scr, bat nebo exe):
    • nuke2004
    • office_crack
    • rootkitXP
    • strip-girl-2.0bdcom_patches
    • activation_crack
    • icq2004-final
    • winamp

Čím škodí

Červ obsahuje dvě varianty zákeřného kódu. Jednou je útok na webovou stránku www.sco.com, kterou chce od 1. února zahltit požadavky na titulní stranu.

Druhá část, o kterou se stará DLL knihovna, je otevření TCP portů 3127 až 3198. Na těchto portech pak červ poslouchá požadavkům s různým využitím, může například přeposílat poštu pro spammery nebo krýt připojení útočníka k jinému serveru. Jednou z variant je také stažení připojeného souboru a jeho spuštění. Možnosti jsou tedy skutečně bohaté.

Veškerou činnost červ ukončí k 12. únoru, neodinstaluje se ale a stále zůstane otevřený pro útočníka.

Jak se šíří

Virus obsahuje vestavěné SMTP a DNS jádro. Není tedy závislý na poštovním serveru a nevyžaduje ani nastavené DNS servery v počítači.

E-mailové adresy získává ze všech souborů s příponami: wab, adb, tbb, dbx, asp, php, sht, htm a txt. Záběr je tedy úctyhodný a vyrovnávací paměť internetového prohlížeče na disku je pro něj vítaným soustem. Vir navíc ještě vygeneruje další e-mailové adresy na základě pár desítek křestních jmen a domény z nalezené adresy. Následně se pokusí odhadnout mailový server přidáním mx., mail., smtp., mx1., mxs., mail1., relay., nebo ns. před doménu odesílatele.

Jak se ho zbavím

Pokud si netroufáte na ruční odstranění, můžete využít automatické odstraňovače od Network Associates, F-Secure nebo Pandy (odstraňovačů je dnes již více, ale předpokládám, že chcete červa odstranit, ne sbírat všechny varianty téhož) .

  • Ruční postup odstraňování je protikladem infekce. Tedy musíte v registrech smazat klíče:
    HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll
    a
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe
    případně
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe
  • Restartujte počítač, aby se soubory přestaly používat.
  • Smažte v systémové složce soubor taskmon.exe a shimgapi.dll.
  • Smažte vygenerované soubory ve sdílené složce Kazaa

Poslední bod je pak preventivní – napište na tabuli padesátkrát „nebudu spouštět podezřelé přílohy z e-mailů!“.

Diskuze (162) Další článek: RAR 3.30 oficiálně pro Windows, Linux i MacOS X

Témata článku: Microsoft, Windows, Unicode, Opatrnost, Message, Různé znaky, Červ, Ruční odstranění, Pandas, Nejslabší článek, Rozpoznávací znak, Špatný klíč, MXS, Velká variabilita, Tabule, Relay, Náhodný znak, Panda, Attachment, Kazaa



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

** Aplikace NewProfilePic se na Androidu stala hitem ** Můžete si v ní vytvořit profesionálně vypadající profilovky ** Pozor ale na agresivní cenovou politiku za Pro verzi

Martin Chroust
FotografieUmělá inteligenceMobilní aplikace
Zavzpomínejte na retro: Playdate je kapesní konzole s kličkou a černobílým displejem

Zavzpomínejte na retro: Playdate je kapesní konzole s kličkou a černobílým displejem

Je jasné, kdo momentálně dominuje mezi kapesními konzolemi. Občas se ale najde projekt, který se klasické hraní snaží trochu okořenit o něco nového.

Martin Nahodil
KonzoleHandheldy
25 nejlepších filmových parodií, které můžete vidět. Víme, kde je najdete online

25 nejlepších filmových parodií, které můžete vidět. Víme, kde je najdete online

Filmové parodie jsou divácky velmi vděčné a mezi filmaři oblíbené. Tvůrci v nich mohou totiž zcela beztrestně vykrádat cizí díla a v jejich nápodobě popustit uzdu své fantazii. Vybrali jsme nejlepší zahraniční i české parodie.

Jaromír PukMarek Čech
Filmy, které musíte vidět
Samsung Galaxy S22 Ultra rozebraný do šroubku. Případné opravy telefonu nebudou nic jednoduchého

Samsung Galaxy S22 Ultra rozebraný do šroubku. Případné opravy telefonu nebudou nic jednoduchého

** iFixit do šroubku rozebral Galaxy S22 Ultra ** Webu se nelíbilo pracné rozebrání telefonu i absence veřejně dostupného manuálu ** Skóre opravitelnosti? Jen tři body z deseti

Martin Chroust
iFixitRozborka
Chcete malý telefon s Androidem? Nejste sami. Zapojte se do petice, za kterou stojí ex-šéf hodinek Pebble

Chcete malý telefon s Androidem? Nejste sami. Zapojte se do petice, za kterou stojí ex-šéf hodinek Pebble

** Špičkové kompaktní Androidy v minulosti drželo nad vodou Sony ** Dnes už kompaktní a dobře vybavený Android na trhu nenajdete ** Tato petice se to pokouší změnit, a vy k tomu můžete sami přispět

Martin Chroust
Kompaktní velikostVlajková loďAndroid
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle