Mimořádně úspěšný červ Bugbear se vrátil

Ve čtvrtek se začala mohutně šířit nová varianta červa Bugbear. Šíří se e-mailem i LAN sítí, obsahuje zadní vrátka a špiona zaznamenávajícího práci s klávesnicí. Ukončuje procesy mnoha různých produktů antivirového software a firewallů (od AVP až po ZoneAlarm).

Stejně jako jeho staršího bratr, který se mohutně šířil v říjnu loňského roku, jej nelze lehce rozpoznat. Snad jen podle velikosti přílohy. Pokaždé přijde originál; mění názvy souboru přílohy, odesílatele, předmět i obsah zpráv.

Adresa odesilatele je podvržená a vzniká kombinací textu před zavináčem a domény ze dvou různých e-mailových adres. Názvy předmětů si vybírá z dlouhého interního seznamu a navíc používá předměty zpráv z napadeného systému před které někdy přidá Re: nebo Fw: . Také text zprávy vykrádá ze systému na kterém byl spuštěn.

Soubor přílohy o velikosti 73,2 kB má koncovku .SCR, .PIF nebo .EXE. Většinou je zdvojená. Při pojmenování souboru přílohy se červ „inspiruje“ názvy existujících souborů na disku napadeného systému.

Klepněte pro větší obrázek

Červ se v některých exemplářích pokouší použít „triku“ pro automatické spuštění přílohy pouhým otevřením zprávy nebo jen jejího náhledu. Na nezáplatovaných systémech se mu to daří.  Záplata je už stará více než 2 roky. Aplikujte kumulativní záplatu na IE červen 2003 Q818529.

Po spuštění se zkopíruje pod náhodným jménem do složky Windows\System a složky pro automatické spuštění aplikací po startu Windows.

Do této složky se snaží dostat i na sdílených a síťových discích. Nedělá to však hned, po infikaci místní instance Windows si dá chvíli pauzu.


Napadá pevně dané (známé) aplikace:

scandskw.exe
regedit.exe
mplayer.exe
hh.exe
notepad.exe
winhelp.exe
Internet Explorer\iexplore.exe
adobe\acrobat 5.0\reader\acrord32.exe
WinRAR\WinRAR.exe
Windows Media Player\mplayer2.exe
Real\RealPlayer\realplay.exe
Outlook Express\msimn.exe
Far\Far.exe
CuteFTP\cutftp32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
ACDSee32\ACDSee32.exe
MSN Messenger\msnmsgr.exe
WS_FTP\WS_FTP95.exe
QuickTime\QuickTimePlayer.exe
StreamCast\Morpheus\Morpheus.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
Trillian\Trillian.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
AIM95\aim.exe
Winamp\winamp.exe
DAP\DAP.exe
ICQ\Icq.exe
kazaa\kazaa.exe
winzip\winzip32.exe

Trojský kůň který instaluje do systému čeká na příkazy útočníka na TCP portu 1080.

V žebříčku MessageLabs v současné době figuruje na 1. místě. Za ním je druhá novinka tohoto měsíce – Sobig.C.

Diskuze (26) Další článek: Kumulativní záplata pro Internet Explorer

Témata článku: Software, Windows, Úspěšný červ, Adobe Acrobat, Existující obsah, Červ, Mim, Acrobat, Podvržený soubor, Adobe Reader, Winzip


Určitě si přečtěte

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

** Systém Windows 10 umí spoustu užitečných drobností ** O mnoha praktických funkcích pravděpodobně ani nevíte ** Poznejte užitečné tipy, které se vám mohou hodit každý den

Vladislav Kluska | 36

Alan Turing: Genius, který matematicky stvořil počítač

Alan Turing: Genius, který matematicky stvořil počítač

Řešením matematického problému se dostal k modelu teoretického stroje, který nese jeho jméno a je základem logiky univerzálních počítačů.

Pavel Tronner | 57

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

** Total Commander je na Windows takřka legendou ** Licence však stojí více než tisíc korun ** Našli jsme pro vás deset alternativ dostupných zdarma

Karel Kilián | 141

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

** Portál občana už funguje, vyřídíte na něm první požadavky ** Funkce se budou postupně rozšiřovat ** Web je docela moderní a přehledný

David Polesný | 65


Aktuální číslo časopisu Computer

Velký test 18 bezdrátových sluchátek

Vše o přechodu na DVB-T2

Procesory AMD opět porážejí Intel

7 NVMe M.2 SSD v přímém souboji