Microsoft záplaty proti Blasteru neposílá!

Prvotní kopie pocházejí z Číny a objevily se již 15. srpna. Trojan byl pojmenován Troj/Backdoor-ARR u jiných antivirových společností může figurovat pod názvy Troj/GrayBird.A, Backdoor.GrayBird.g nebo BKDR_GRAYBIRD.B.

Trojan přichází jako příloha emailu, který byl rozeslán na množství adres. Na infikovaném počítači umožní útočníkovi vzdálený přístup a ovládání systému přes internet, posílat emaily, krást hesla a zaznamenává stisknutí kláves.

Příchozí zpráva může vypadat takto:

Od: webmaster@microsoft.com (adresa je podvržená)
Předmět: updated
Text:
At 11:34 A.M. Pacific Time on August 13, Microsoft began investigating a worm reported by Microsoft Product Support Services (PSS). A new worm commonly known as W32.Blaster.Worm has been identified that exploits the vulnerability that was addressed by Microsoft Security Bulletin MS03-026.

Download the attached update program. To begin the download process, do one of the following:

To download the attached program to your computer for installation at a later time, click Save or Save this program to disk.then run it. If you have any problem, connect to us immediately.

Příloha: 03-26updated.exe (319 670 B)

Po spuštění přílohy uživatelem se vir zkopíruje do složky systému Windows pod názvem spoolsv.exe a své spuštění při dalším startu operačního systému si zajistí modifikací registrů:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SPOOLSV
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SPOOLSV
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SPOOLSV

Na systémech Windows 9x/ME přidá své spuštění i do souboru WIN.INI (run=SPOOSV).

Dostanete-li do vaší schránky jakýkoliv spustitelný soubor pocházející od Microsoftu, můžete si být 100% jisti, že jej k vám tato firma neposlala a raději jej ihned smažte. Společnost Microsoft zásadně žádné záplaty nebo jiné programy uživatelům nezasílá. Můžete od ní dostat jedině pozvánku na nějakou marketingovou akci, ale nikdy žádný spustitelný soubor!