Mimořádně úspěšný červ Bugbear se vrátil

Ve čtvrtek se začala mohutně šířit nová varianta červa Bugbear. Šíří se e-mailem i LAN sítí, obsahuje zadní vrátka a špiona zaznamenávajícího práci s klávesnicí. Ukončuje procesy mnoha různých produktů antivirového software a firewallů (od AVP až po ZoneAlarm).

Stejně jako jeho staršího bratr, který se mohutně šířil v říjnu loňského roku, jej nelze lehce rozpoznat. Snad jen podle velikosti přílohy. Pokaždé přijde originál; mění názvy souboru přílohy, odesílatele, předmět i obsah zpráv.

Adresa odesilatele je podvržená a vzniká kombinací textu před zavináčem a domény ze dvou různých e-mailových adres. Názvy předmětů si vybírá z dlouhého interního seznamu a navíc používá předměty zpráv z napadeného systému před které někdy přidá Re: nebo Fw: . Také text zprávy vykrádá ze systému na kterém byl spuštěn.

Soubor přílohy o velikosti 73,2 kB má koncovku .SCR, .PIF nebo .EXE. Většinou je zdvojená. Při pojmenování souboru přílohy se červ „inspiruje“ názvy existujících souborů na disku napadeného systému.

Klepněte pro větší obrázek

Červ se v některých exemplářích pokouší použít „triku“ pro automatické spuštění přílohy pouhým otevřením zprávy nebo jen jejího náhledu. Na nezáplatovaných systémech se mu to daří.  Záplata je už stará více než 2 roky. Aplikujte kumulativní záplatu na IE červen 2003 Q818529.

Po spuštění se zkopíruje pod náhodným jménem do složky Windows\System a složky pro automatické spuštění aplikací po startu Windows.

Do této složky se snaží dostat i na sdílených a síťových discích. Nedělá to však hned, po infikaci místní instance Windows si dá chvíli pauzu.


Napadá pevně dané (známé) aplikace:

scandskw.exe
regedit.exe
mplayer.exe
hh.exe
notepad.exe
winhelp.exe
Internet Explorer\iexplore.exe
adobe\acrobat 5.0\reader\acrord32.exe
WinRAR\WinRAR.exe
Windows Media Player\mplayer2.exe
Real\RealPlayer\realplay.exe
Outlook Express\msimn.exe
Far\Far.exe
CuteFTP\cutftp32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
ACDSee32\ACDSee32.exe
MSN Messenger\msnmsgr.exe
WS_FTP\WS_FTP95.exe
QuickTime\QuickTimePlayer.exe
StreamCast\Morpheus\Morpheus.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
Trillian\Trillian.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
AIM95\aim.exe
Winamp\winamp.exe
DAP\DAP.exe
ICQ\Icq.exe
kazaa\kazaa.exe
winzip\winzip32.exe

Trojský kůň který instaluje do systému čeká na příkazy útočníka na TCP portu 1080.

V žebříčku MessageLabs v současné době figuruje na 1. místě. Za ním je druhá novinka tohoto měsíce – Sobig.C.

Diskuze (26) Další článek: Kumulativní záplata pro Internet Explorer

Témata článku: Software, Windows, Acrobat, Mim, Adobe Acrobat, Winzip, Červ, Podvržený soubor, Existující obsah, Adobe Reader

Určitě si přečtěte


Aktuální číslo časopisu Computer

Jak rychlé je nabíjení bez drátů?

Test 11 sluchátek pro hráče

Aplikace, které vám zachrání dovolenou

Kompletní přehled datových tarifů