Mimořádně úspěšný červ Bugbear se vrátil

Ve čtvrtek se začala mohutně šířit nová varianta červa Bugbear. Šíří se e-mailem i LAN sítí, obsahuje zadní vrátka a špiona zaznamenávajícího práci s klávesnicí. Ukončuje procesy mnoha různých produktů antivirového software a firewallů (od AVP až po ZoneAlarm).

Stejně jako jeho staršího bratr, který se mohutně šířil v říjnu loňského roku, jej nelze lehce rozpoznat. Snad jen podle velikosti přílohy. Pokaždé přijde originál; mění názvy souboru přílohy, odesílatele, předmět i obsah zpráv.

Adresa odesilatele je podvržená a vzniká kombinací textu před zavináčem a domény ze dvou různých e-mailových adres. Názvy předmětů si vybírá z dlouhého interního seznamu a navíc používá předměty zpráv z napadeného systému před které někdy přidá Re: nebo Fw: . Také text zprávy vykrádá ze systému na kterém byl spuštěn.

Soubor přílohy o velikosti 73,2 kB má koncovku .SCR, .PIF nebo .EXE. Většinou je zdvojená. Při pojmenování souboru přílohy se červ „inspiruje“ názvy existujících souborů na disku napadeného systému.

Klepněte pro větší obrázek

Červ se v některých exemplářích pokouší použít „triku“ pro automatické spuštění přílohy pouhým otevřením zprávy nebo jen jejího náhledu. Na nezáplatovaných systémech se mu to daří.  Záplata je už stará více než 2 roky. Aplikujte kumulativní záplatu na IE červen 2003 Q818529.

Po spuštění se zkopíruje pod náhodným jménem do složky Windows\System a složky pro automatické spuštění aplikací po startu Windows.

Do této složky se snaží dostat i na sdílených a síťových discích. Nedělá to však hned, po infikaci místní instance Windows si dá chvíli pauzu.


Napadá pevně dané (známé) aplikace:

scandskw.exe
regedit.exe
mplayer.exe
hh.exe
notepad.exe
winhelp.exe
Internet Explorer\iexplore.exe
adobe\acrobat 5.0\reader\acrord32.exe
WinRAR\WinRAR.exe
Windows Media Player\mplayer2.exe
Real\RealPlayer\realplay.exe
Outlook Express\msimn.exe
Far\Far.exe
CuteFTP\cutftp32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
ACDSee32\ACDSee32.exe
MSN Messenger\msnmsgr.exe
WS_FTP\WS_FTP95.exe
QuickTime\QuickTimePlayer.exe
StreamCast\Morpheus\Morpheus.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
Trillian\Trillian.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
AIM95\aim.exe
Winamp\winamp.exe
DAP\DAP.exe
ICQ\Icq.exe
kazaa\kazaa.exe
winzip\winzip32.exe

Trojský kůň který instaluje do systému čeká na příkazy útočníka na TCP portu 1080.

V žebříčku MessageLabs v současné době figuruje na 1. místě. Za ním je druhá novinka tohoto měsíce – Sobig.C.

Diskuze (26) Další článek: Kumulativní záplata pro Internet Explorer

Témata článku: Software, Windows, Mim, Adobe Reader, Podvržený soubor, Úspěšný červ, Červ, Acrobat, Winzip, Existující obsah, Adobe Acrobat


Určitě si přečtěte

Externí SSD se může hodit. Je rychlé, malé zvenku, velké uvnitř a cena už se snese

Externí SSD se může hodit. Je rychlé, malé zvenku, velké uvnitř a cena už se snese

** Vyzkoušeli jsme rychlé externí SSD Samsung T5 ** Externí SSD je lepší než flešky i velké plotnové disky, většímu rozšíření doposud bránila především cena ** Samsung T5 zvládne i chytré šifrování a připojení k mobilu

David Polesný | 27

Praktické vychytávky, které si chcete doinstalovat do Windows

Praktické vychytávky, které si chcete doinstalovat do Windows

** Pokud vás nudí vzhled nabídky Start, snadno jej můžete změnit. ** Stejně tak existují programy na přidání záložek do programů. ** Spokojit se ani nemusíte se základním ovládáním hlasitosti.

Vladislav Kluska | 45

Alza si za osobní odběr účtuje už 45 Kč. Když zaplatíte předem, dostanete slevu

Alza si za osobní odběr účtuje už 45 Kč. Když zaplatíte předem, dostanete slevu

** Osobní odběr v Alze vyjde na 45 Kč ** Když zaplatíte kartou předem, dostanete slevu 30 Kč ** Většina ostatních e-shopů poplatek za osobní odběr nevede

David Polesný | 171

Osudová havárie Concordu: Před 18 lety přišel konec nadzvukových dopravních letadel

Osudová havárie Concordu: Před 18 lety přišel konec nadzvukových dopravních letadel

** Concorde byl nejrychlejším dopravním letadlem ** Atlantik dokázal přeletět za cca 3 až 3,5 hodiny ** Před osmnácti lety tragická havárie provoz těchto letadel prakticky ukončila

David Polesný, Jiří Černý | 37

Inteligentní akvárium Bluenero se o rybičky postará samo

Inteligentní akvárium Bluenero se o rybičky postará samo

** Chcete chovat akvarijní rybičky, ale nemáte čas se o ně starat? ** Chytré akvárium je samo nakrmí a postará se o jejich komfort ** Projekt Bluenero zatím sbírá finance na Indiegogo

Karel Kilián | 20


Aktuální číslo časopisu Computer

Jak vytvořit a spravovat vlastní web

Velký test herních klávesnic a DVB-T2 tunerů

Vše o formátu RAW

Vybíráme nejlepší základní desku