Fotbalový červ ochromuje Evropu

Nová varianta červa Sober se lavinovitě šíří zejména v Evropě díky využití lidské psychologie. Namísto milostného dopisu nebo erotických obrázků slibuje lístky na utkání fotbalového mistrovství světa. Díky anglické a německé verzi textu představuje vyšší riziko i pro české uživatele.

Extrémně rychlé šíření zaznamenaly antivirové společnosti u nové verze červa Sober.P (I-Worm/Sober.P, některé antivirové společnosti používají jiné písmenné označení. O tomto červu jsme psali poprvé ve formě krátké zprávy, tehdy ale nebylo zřejmé, že půjde po dlouhé době o velice úspěšného červa. Sober.P totiž tvoří podle sledování společnosti Sophos více než 70 % všech odchycených virů, takové rozšíření je možné označit za epidemické.

Pozor na emaily v angličtině a němčině

Sober.P se stylem šíření a aktivitou na lokálním počítači příliš neliší od ostatních červů ze stejné rodiny. Po spuštění se červ zkopíruje do následujících souborů: @@@

  • %Windir%\Connection Wizard\Status\csrss.exe
  • %Windir%\Connection Wizard\Status\packed1.sbr
  • %Windir%\Connection Wizard\Status\packed2.sbr
  • %Windir%\Connection Wizard\Status\packed3.sbr
  • %Windir%\Connection Wizard\Status\services.exe
  • %Windir%\Connection Wizard\Status\smss.exe
  • %Windir%\Connection Wizard\Status\sacri1.ggg
  • %System%\adcmmmmq.hjg
  • %System%\langeinf.lin
  • %System%\nonrunso.ber
  • %System%\seppelmx.smx
  • %System%\xcvfpokd.tqa

Pro své šíření vyhledá seznamy adres elektronické pošty v souborech na lokálním počítači a pokusem o připojení na domény microsoft.com, bigfoot.com, yahoo.com, t-online.de, google.com, hotmail.com zjistí přítomnost aktivního připojení k internetu. Pokud je počítač připojen, začne se vir šířit na nalezené adresy.

Odesílaný email může mít několik podob. K dispozici má 12 různých textů pro předmět zprávy ve dvou jazycích, jde o následující textové řetězce:

Anglicky:

  • Re:Your Password
  • Re:Registration Confirmation
  • Re:Your email was blocked
  • Re:mailing error
  • Re: [blank]

Německy:

  • Ihr Passwort
  • Mail-Fehler!
  • Ihre E-Mail wurde verweigert
  • Ich bin`s, was zum lachen ;)
  • Glueckwunsch: Ihr WM Ticket
  • WM Ticket Verlosung
  • WM-Ticket-Auslosung

Několik je také možných názvů příloh, které odpovídají zvolenému předmětu zprávy, liší se také samotný text emailu, který kromě jiného obsahuje falešnou informaci o kontrole antivirovým programem.

  • our_secret.zip
  • mail_info.zip
  • error-mail_info.zip
  • account_info.zip
  • account_info-text.zip
  • LOL.zip
  • autoemail-text.zip
  • _PassWort-Info.zip
  • Fifa_Info-Text.zip
  • okTicket-info.zip

Místo fotbalu problémy s počítačem

Ve zmíněném seznamu vyčnívají předměty "Glueckwunsch: Ihr WM Ticket", "WM Ticket Verlosung" a "WM-Ticket-Auslosung" a přílohy "Fifa_Info-Text.zip" a "okTicket-info.zip" a odpovídající doprovodný text. Právě spojení s mistrovstvím světa ve fotbale může podle odborníků za lavinovité šíření červa. Jde o přesvědčivou ukázku znalostí lidské psychologie (sociálního inženýrství), kdy autor viru zvolil vhodnou motivaci pro aktivaci nebezpečné přílohy. Zajímavé je, že se tento vir objevil v okamžiku, kdy v Rakousku začalo hokejové mistrovství světa. Vir, který by ale falešně informoval o výhře lístků na semifinále a finále, se naštěstí zatím neobjevil.

Zajímavé a mnohem nebezpečnější než zklamání z absence lístků na fotbal je schopnost červa stáhnout s spustit libovolný kód prostřednictvím knihovny URLMON.DLL. Červ také ukončuje funkci některých antivirových aplikací, čímž vystavuje počítač dalšímu riziku. Naštěstí má v sobě Sober.P časovou pojistku, šířit se přestane 28. května.

Větší publikum

Větší nebezpečí pro české uživatele představuje nová varianta červa nejen proto, že slibuje lístky na fotbal, který je v Čechách stále nejpopulárnějším sportem spolu s hokejem, ale proto, že text je k dispozici i v němčině, červ tak dokáže "oslovit" část populace, která se učila německy nebo anglicky. Tyto jazyky jsou u nás od devadesátých let nejrozšířenější a němčinu volí při studiu řada Čechů kvůli tomu, že s německy hovořícími zeměmi přímo sousedíme.

I přes tyto podmínky k šíření je výskyt viru v českých emailech řádově nižší, podle Virového radaru společnosti ESET tvoří emaily obsahující Sober.P přibližně dvě procenta všech emailů. Jako rozšířenější uvádí ESET HTML/Phishing.gen trojan se čtyřprocentním podílem na kontrolovaných zprávách elektronické pošty.

Vir roku 2005?

Už nyní se o červu Sober.P hovoří jako o viru roku právě díky obrovskému podílu tohoto škodlivého kódu na všech infikovaných emailech odchycených velkými mezinárodními společnostmi, které poskytují ochranu před viry firemním sítím. Sober.P se přitom poprvé objevil už v roce 2003 a v posledních měsících se žádná jeho varianta nešířila. Pokud se do konce roku neobjeví nová vážná bezpečnostní díra, která umožní masové šíření bez zásahu uživatele, je pravděpodobné, že se Sober.P opravdu tohoto titulu dočká a zařadí se mezi viry jako Netsky, MyDoom, Sobig, LoveLetter, Klez, Melissa, Slammer, CodeRed a další viry, které dokázaly nakazit miliony počítačů po celém světě a ukázat tak na nedostatky v zabezpečení počítačů s operačními systémy Windows.

Ochrana je jednoduchá

Hromadné šíření červů nadále ukazuje, že řada uživatelů ignoruje zásady bezpečného používání počítače s připojením k internetu. Přitom stačí dodržovat jednoduchou zásadu - nespouštět přílohy, které jste si nevyžádali. Pokud email přichází z neznámé adresy, neexistuje žádný důvod přílohu otevírat, pokud je email od někoho známého, je vhodné poslat kontrolní zprávu ověřující, že přiložený soubor je bezpečný.

Samozřejmostí by pro uživatele Windows mělo být používání antivirového programu s pravidelnými aktualizacemi databáze virů. Přehled s popisem funkcí najdete v našich článcích, několik antivirů je pro domácí použití k dispozici i zdarma.

Diskuze (7) Další článek: Poslanecká sněmovna schválila zákon proti televizním pirátům

Témata článku: Google, Windows, Sport, Fotbal, Nebezpečná příloha, Masové šíření, Bezpečné používání, Červ, Šíření, Wizard, Ticket, Vhodný uživatel, Status, Kuka, Melissa, Hokejové mistrovství, Písmenné označení, Email, Semifinále


Určitě si přečtěte

Modelářský zázrak: Maketa raketoplánu Columbia, která létá jako skutečná raketa

Modelářský zázrak: Maketa raketoplánu Columbia, která létá jako skutečná raketa

** Model raketoplánu Columbia od českého konstruktéra umí i létat ** Obdivuhodný model si vzal 1600 hodin práce ** Podívejte se na fotografie ze stavby a prvního letu

Karel Jeřábek | 25

10 nejtragičtějších leteckých nehod od roku 2000. Jedna je stále záhadou

10 nejtragičtějších leteckých nehod od roku 2000. Jedna je stále záhadou

** Letecká doprava patří k nejbezpečnějším způsobům cestování ** Čerstvá aféra s Boeingy Max důvěru v bezpečnost létání narušila ** Připomeňme si největší nedávné letecké nehody. Každá ale přispěje k bezpečnosti dalších letů

Karel Kilián | 33

Windows 10 černé, nebo bílé? Rozhodněte, zda je hezčí černý motiv, nebo nový světlý

Windows 10 černé, nebo bílé? Rozhodněte, zda je hezčí černý motiv, nebo nový světlý

** Do Windows míří bílé téma a přebarví se spodní lišta i Start ** Od minulého roku má ale i téma tmavé. ** Jaké z těchto dvou je ale to hezčí?

Vladislav Kluska | 71



Aktuální číslo časopisu Computer

Velký test fotolabů

Oklamali jsme rozpoznání obličeje

13 tipů pro rychlejší Wi-Fi

Test NVMe SSD 500 GB