Další Sobig odstartoval - červi útočí na adresu Microsoftu

Přes víkend se na virové scéně objevil nový vir, přesněji řečeno e-mailový červ. Jeho jméno je Sobig.C. Než se antivirové společnosti sjednotily na jméně Sobig.B, byla předchozí varianta červa označena i jako Palyh.A nebo Mankx.

Sobig.B měl jako odesilatele definovanou adresu support@microsoft.com. Poštovní servery zasažených firem s antivirovou kontrolou automaticky informující odesilatele o odstranění přílohy pak na několik hodin vyřadily z provozu poštovní servery Microsoftu. Tažení autora viru proti Microsoftu pokračuje, neboť nová varianta má většinou jako adresu odesilatele bill@microsoft.com. Tato varianta si však může vymyslet i jinou falešnou adresu! V neděli večer figuroval na 3. místě statistiky MessageLabs. Byl již zachycen v 80 zemích světa, v celkovém počtu převyšujícím 16 000 kusů, nejčastěji ve Velké Británii. Nyní mu patří druhé místo v žebříčku MessageLabs.

Od svého staršího bratra se moc neliší. Život varianty B autor omezil do 30.5. a hned následující den vypustil verzi novou. Dorazivší zpráva má jeden z následujících předmětů:

Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application

V těle zprávy je jediná věta - "All information is in the attached file."

Přiložen je soubor o velikosti cca 59 kB a s jedním z těchto názvů:

sreensaver.scr
movie.pif
submited.pif
45443.pif
documents.pif
approved.pif
application.pif
document.pif

Z důvodu chyby může být přípona souboru zkrácena o poslední písmeno. Příloha má pak koncovku .PI místo .PIF.

Po spuštění se vir uloží do složky Windows pod jménem mscvb32.exe a vytváří zde i soubory msddr.dll a msddr.dat. V registrech nastaví své spouštění při dalším startu operačního systému.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "System MScvb"="%Windir%\mscvb32.exe"

Ve Windows NT/2000/XP i do klíče

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Dále se pokouší stáhnout si ze čtyř stránek na GeoCities data a uložit je na disk do souborů s koncovkou .INI.

Mimoto se červ pokusí rozšířit i přes síťová sdílení kopírováním sebe sama na jiné počítače do složek Windows\All Users\Start Menu\Programs\StartUp a Documents and Settings\All Users\Start Menu\Programs\Startup. Na českých Windows k šíření nedojde, neboť se zde složky pro spouštění při startu jmenují jinak.

Nakonec se vir získává ze souborů s koncovkami WAB, DBX, EML, HTML, HTM a TXT e-mailové adresy a rozešle se na ně.

Poslední aktualizace antivirového programu AVG již obsahuje obranu proti této variantě červa.

Diskuze (2) | Stáhněte si AVG 7 Release Candidat

Témata článku: Microsoft, Windows, Červ, Adresa, Poslední pokus, Poslední věta, Startup, Poslední písmeno, Falešná zpráva

Určitě si přečtěte


Aktuální číslo časopisu Computer

Zachraňte nefunkční Windows

Jak nakupovat a prodávat kryptoměny

Otestovali jsme konvertibilní notebooky

Velký test 14 herních myší