Další Sobig odstartoval - červi útočí na adresu Microsoftu

Přes víkend se na virové scéně objevil nový vir, přesněji řečeno e-mailový červ. Jeho jméno je Sobig.C. Než se antivirové společnosti sjednotily na jméně Sobig.B, byla předchozí varianta červa označena i jako Palyh.A nebo Mankx.

Sobig.B měl jako odesilatele definovanou adresu support@microsoft.com. Poštovní servery zasažených firem s antivirovou kontrolou automaticky informující odesilatele o odstranění přílohy pak na několik hodin vyřadily z provozu poštovní servery Microsoftu. Tažení autora viru proti Microsoftu pokračuje, neboť nová varianta má většinou jako adresu odesilatele bill@microsoft.com. Tato varianta si však může vymyslet i jinou falešnou adresu! V neděli večer figuroval na 3. místě statistiky MessageLabs. Byl již zachycen v 80 zemích světa, v celkovém počtu převyšujícím 16 000 kusů, nejčastěji ve Velké Británii. Nyní mu patří druhé místo v žebříčku MessageLabs.

Od svého staršího bratra se moc neliší. Život varianty B autor omezil do 30.5. a hned následující den vypustil verzi novou. Dorazivší zpráva má jeden z následujících předmětů:

Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application

V těle zprávy je jediná věta - "All information is in the attached file."

Přiložen je soubor o velikosti cca 59 kB a s jedním z těchto názvů:

sreensaver.scr
movie.pif
submited.pif
45443.pif
documents.pif
approved.pif
application.pif
document.pif

Z důvodu chyby může být přípona souboru zkrácena o poslední písmeno. Příloha má pak koncovku .PI místo .PIF.

Po spuštění se vir uloží do složky Windows pod jménem mscvb32.exe a vytváří zde i soubory msddr.dll a msddr.dat. V registrech nastaví své spouštění při dalším startu operačního systému.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "System MScvb"="%Windir%\mscvb32.exe"

Ve Windows NT/2000/XP i do klíče

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Dále se pokouší stáhnout si ze čtyř stránek na GeoCities data a uložit je na disk do souborů s koncovkou .INI.

Mimoto se červ pokusí rozšířit i přes síťová sdílení kopírováním sebe sama na jiné počítače do složek Windows\All Users\Start Menu\Programs\StartUp a Documents and Settings\All Users\Start Menu\Programs\Startup. Na českých Windows k šíření nedojde, neboť se zde složky pro spouštění při startu jmenují jinak.

Nakonec se vir získává ze souborů s koncovkami WAB, DBX, EML, HTML, HTM a TXT e-mailové adresy a rozešle se na ně.

Poslední aktualizace antivirového programu AVG již obsahuje obranu proti této variantě červa.

Diskuze (2) Další článek: Stáhněte si AVG 7 Release Candidat

Témata článku: Microsoft, Windows, Poslední písmeno, Falešná zpráva, Poslední pokus, Adresa, Jediná věta, Červ, Startup, Poslední věta


Určitě si přečtěte

Šéf amerického Red Hatu: Odpojte Brno od internetu a zhroutíme se

Šéf amerického Red Hatu: Odpojte Brno od internetu a zhroutíme se

** V Česku najdete hromadu skvělých vývojářů ** Mnozí z nich přispívají do open-source ** Třeba v brněnském Red Hatu

Jakub Čížek | 51

Jak dopadl velký den Applu s náloží novinek: Sledujte, co letos připravil

Jak dopadl velký den Applu s náloží novinek: Sledujte, co letos připravil

** Apple večer představil novinky ** Ukáže nové operační systémy, ale čekala se i nová zařízení ** Začíná vývojářská konference Applu WWDC 2018

Karel Javůrek | 87

PrusaLab a FutLab: Praha se dočkala špičkových komunitních dílen pro hackery

PrusaLab a FutLab: Praha se dočkala špičkových komunitních dílen pro hackery

** Nejprve svoji velkou dílnu otevřelo Brno ** Letos se přidala i Praha ** Nabízí malé 3D tiskárny i velké průmyslové stroje

Jakub Čížek | 11

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

** Pornografie údajně představuje třetinu internetové obsahu a je technologický tahounem ** Do erotického obsahu postupně zasahuje i virtuální realita ** Kromě vizuálního vjemu se pracuje také na virtuálním uspokojení toho hmatového

Jan Dudek | 28


Aktuální číslo časopisu Computer

Kdy necháme řídit chytrá auta?

6 Wi-Fi Mesh systémů ve velkém testu

Srovnali jsme 7 sportovních kamer

Znáte pravidla pro létání s drony?