E-mailový červ Hermes zcela jistě pochází z České republiky; svědčí o tom nejen jména přikládaných souborů, ale i připojování na server Seznam.cz.
E-mailový červ Hermes zcela jistě pochází z České republiky; svědčí o tom nejen jména přikládaných souborů, ale i připojování na server Seznam.cz.
Červ využívá tradiční a oblíbenou metodu podstrkování různých souborů s lákavými názvy vybízejícími ke spuštění. I když jsme již dostatečně vyburcováni k ignorování anglicky znějících souborků, Hermes útočí ryze lokálně na zájmy českých uživatelů.
Poté, co uživatel spustí v Outlooku přílohu v došlém e-mailu, se červ rozešle na všechny adresy v adresáři ve zprávě s předmětem RE:, text zprávy tvoří jméno odesílatele. V příloze je červ schovaný do jednoho z následujících souborů o velikosti okolo 20 kB:
- Seti@home 3.x to 4.0 upd.exe
- Seti@home_twk.exe
- Seti_patch.exe
- Lunetic!.exe
- CIH.exe
- Energy.exe
- ftip.exe
- Navidat.exe
- Click_ME!.exe
- Cenik.exe
- Lunetic.scr
- fucking.scr
- micro$haft.scr
- matrix.scr
- reboot.scr
- Pamela.scr
- techno.scr
- funny!.scr
- Hermes.scr
- School_in_da_flame.scr
Jak vidíte, fanoušci Luneticu mají smůlu, to, o čem si myslí, že by mohl být pěkný spořič obrazovky, je červ. Je zajímavé, že červ používá i „profláknuté“ názvy, jako je Navidat nebo CIH. Nebezpečně lákavé mohou být aktualizace Seti@home nebo cenik.exe.
Červ také zobrazuje dialogová okna s textem:
_ i-Worm.Hermes _
Code by: gl
This program requires more conventional memory
Unload drivers or memory-resident programs that use conventional memory, or increase the value for Minimum Conventional Memory in the program's Memory properities sheet.
Červ se dále pokouší o zápis do registrů, ale podle informací na Viruslist, ze kterých jsem čerpal, se mu to díky chybě nepodaří.
Jako perličku na závěr kontaktuje červík server www.seznam.cz, nicméně nic tam nestahuje. Zřejmě ho má natolik rád, že mu chce přihodit pageview zdarma.
