Co se skrývá za e-mailem Re: Your password!

Včera se začal poměrně masivně šířit zatím nedestruktivní červ Frethem. Využívá známou chybu, na kterou je k dispozici záplata, přesto je velmi úspěšný. Může se jedna o sondování terénu pro destruktivnější útok.
Frethem je ve své podstatě neškodný. Škodí přímo jen zneužíváním připojení k Internetu k šíření sebe sama, jeho úpravy systému jen směřují k zajištění vlastního přežití, nic nemaže, ani neposílá ven žádná důvěrná data. Jak vidno, i to málo stačí.

Včera začaly do mé schránky putovat e-maily s předmětem Re: Your password!. Na pohled se to lišilo od známého červa Klez, ale po prvním jsem si řekl, že může jít jen o drobnost, vzápětí těch mailů již přišlo několik.

Tuto aktivitu má na svědomí červ Frethem, který je šířen v několika modifikacích, nicméně pokud máte na serveru či emailovém klientu nějakou ochranu přípon, měla by jej zachytit.

Červ se totiž šíří v e-mailu se dvěma přílohami. Jedna se jmenuje Decrypt-password.exe o velikosti 48 kB a druhou je obyčejný textový soubor Password.txt s pár bajty nevinných dat. Ačkoli již dnes snad nikdo nespouští vědomě soubory typu EXE z neznámých mailů, Frethem využívá známé a opravené chyby, která byla červy využita již několikrát. V HTML e-mailu je vložen i neviditelný IFRAME odkazující na přílohu s MIME typem multimediálního souboru. Tato přípona je ale spustitelný program a tak se to spustí jen při otevření mailu nebo jeho zobrazení v podoknu s náhledem.

Červ se pak nakopíruje do adresáře Windows jako taskbar.exe a do registrů se nastaví pro spouštění při každém startu systému v klíči:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Následně zjistí nastavený SMTP server uživatele a e-mailové adresy z Adresáře Windows a ze souborů .dbx, .wab, .mbx, .eml, and .mdb. Na tyto zjištěné adresy se rozešle pomocí svého vlastního SMTP enginu.

Samotná zpráva pak vypadá takto:

ATTENTION!

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

(odesilatel)

na jejím konci je v HTML vložený i ten IFRAME.

Z počítače lze červa odstranit jednoduše. Stačí vymazat jeho soubor taskbar.exe z adresáře Windows a smazat také jeho položku Task Bar v uvedeném klíči v registrech.

Poznámka: dle Symantecu nedělá červ nic jiného, McAfee říká, že se ještě napojuje na desítky webů, kde dělá jen hit a nic tam neposílá. Antivirové programy včetně těch českých mají již dostupné opravy. Červ je v několik různých variantách, ty jsou ale velmi blízké a mají stejné vnější projevy.

Diskuze (152) Další článek: Mažte hned po příchodu maily Re: Your password!

Témata článku: Windows, Save, Neviditelný iFrame, Password, Vera, Cancel, Pas


Určitě si přečtěte

Lépe bylo bez Googlu, přiznal s odstupem bývalý šéf Waze
Markéta Mikešová
WazeGoogle
Apple Macbook Air M1: testujeme výkon, výdrž, a hlavně kompatibilitu aplikací [průběžně aktualizováno]

Apple Macbook Air M1: testujeme výkon, výdrž, a hlavně kompatibilitu aplikací [průběžně aktualizováno]

** Testujeme Apple Macbook Air s procesorem M1 ** Zajímá nás nejen výkon, ale zejména kompatibilita aplikací ** Článek je průběžně doplňován na základě vašich dotazů

Jiří Kuruc | 209

Jiří Kuruc
Apple
Vážně dnes ještě někdo krade Adobe? Video můžete stříhat zdarma v Resolve a fotky i vektory zvládne Affinity

Vážně dnes ještě někdo krade Adobe? Video můžete stříhat zdarma v Resolve a fotky i vektory zvládne Affinity

** Kde jsou ty doby, kdy měl skoro každý doma Photoshop ** Photoshop a Premiere Pro od kamaráda nebo z warezu ** Dnes už to nemá smysl, existuje totiž hromada laciných alternativ

Jakub Čížek | 92

Jakub Čížek
Grafický editorStřih videa
Vy a počítač: Virtuální plochy ve Windows mají smysl, používá je třetina čtenářů
Vladislav Kluska
Jak používáte počítačWindows 10Ankety
Kudy proudí doprava? Na mapách můžete sledovat autobusy, vlaky, letadla i lodě

Kudy proudí doprava? Na mapách můžete sledovat autobusy, vlaky, letadla i lodě

Současná situace cestování zrovna dvakrát nepřeje, kvůli covidu můžeme jezdit leda tak prstem po mapě. A nebo můžeme prsty nechat volné a koukat, jak po mapě cestuje někdo jiný. Díky otevřeným datům dopravních či přepravních společností je to hračka.

Lukáš Václavík | 12

Lukáš Václavík
Doprava
Šmírování kamerami Googlu: Koukněte, co se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 4

redakce
Mapy GoogleStreet View