Mimořádně úspěšný červ Bugbear se vrátil

Ve čtvrtek se začala mohutně šířit nová varianta červa Bugbear. Šíří se e-mailem i LAN sítí, obsahuje zadní vrátka a špiona zaznamenávajícího práci s klávesnicí. Ukončuje procesy mnoha různých produktů antivirového software a firewallů (od AVP až po ZoneAlarm).

Stejně jako jeho staršího bratr, který se mohutně šířil v říjnu loňského roku, jej nelze lehce rozpoznat. Snad jen podle velikosti přílohy. Pokaždé přijde originál; mění názvy souboru přílohy, odesílatele, předmět i obsah zpráv.

Adresa odesilatele je podvržená a vzniká kombinací textu před zavináčem a domény ze dvou různých e-mailových adres. Názvy předmětů si vybírá z dlouhého interního seznamu a navíc používá předměty zpráv z napadeného systému před které někdy přidá Re: nebo Fw: . Také text zprávy vykrádá ze systému na kterém byl spuštěn.

Soubor přílohy o velikosti 73,2 kB má koncovku .SCR, .PIF nebo .EXE. Většinou je zdvojená. Při pojmenování souboru přílohy se červ „inspiruje“ názvy existujících souborů na disku napadeného systému.

Klepněte pro větší obrázek

Červ se v některých exemplářích pokouší použít „triku“ pro automatické spuštění přílohy pouhým otevřením zprávy nebo jen jejího náhledu. Na nezáplatovaných systémech se mu to daří.  Záplata je už stará více než 2 roky. Aplikujte kumulativní záplatu na IE červen 2003 Q818529.

Po spuštění se zkopíruje pod náhodným jménem do složky Windows\System a složky pro automatické spuštění aplikací po startu Windows.

Do této složky se snaží dostat i na sdílených a síťových discích. Nedělá to však hned, po infikaci místní instance Windows si dá chvíli pauzu.


Napadá pevně dané (známé) aplikace:

scandskw.exe
regedit.exe
mplayer.exe
hh.exe
notepad.exe
winhelp.exe
Internet Explorer\iexplore.exe
adobe\acrobat 5.0\reader\acrord32.exe
WinRAR\WinRAR.exe
Windows Media Player\mplayer2.exe
Real\RealPlayer\realplay.exe
Outlook Express\msimn.exe
Far\Far.exe
CuteFTP\cutftp32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
ACDSee32\ACDSee32.exe
MSN Messenger\msnmsgr.exe
WS_FTP\WS_FTP95.exe
QuickTime\QuickTimePlayer.exe
StreamCast\Morpheus\Morpheus.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
Trillian\Trillian.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
AIM95\aim.exe
Winamp\winamp.exe
DAP\DAP.exe
ICQ\Icq.exe
kazaa\kazaa.exe
winzip\winzip32.exe

Trojský kůň který instaluje do systému čeká na příkazy útočníka na TCP portu 1080.

V žebříčku MessageLabs v současné době figuruje na 1. místě. Za ním je druhá novinka tohoto měsíce – Sobig.C.

Diskuze (26) Další článek: Kumulativní záplata pro Internet Explorer

Témata článku: Software, Windows, Mim, Úspěšný červ, Adobe Reader, Podvržený soubor, Adobe Acrobat, Červ, Winzip, Acrobat, Existující obsah


Určitě si přečtěte

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

** Portál občana už funguje, vyřídíte na něm první požadavky ** Funkce se budou postupně rozšiřovat ** Web je docela moderní a přehledný

David Polesný | 66

Jak jsme je mohli používat? V těchto věcech Windows 10 předčí staré Sedmičky

Jak jsme je mohli používat? V těchto věcech Windows 10 předčí staré Sedmičky

** Windows 10 nejsou jen moderní aplikace, ale i spousta vychytávek a funkcí navíc. ** U většiny z nich si ani neuvědomujeme, že byly někdy jinak. ** Některé věci jsou zcela nové, jiné zase pocházejí už z Windows 8.

Vladislav Kluska | 214

Nejlepší hardware: Skládáme nenáročnou sestavu i extrém na hry

Nejlepší hardware: Skládáme nenáročnou sestavu i extrém na hry

** Poradíme, jaký se teď vyplatí koupit hardware ** Procesory, desky, paměti, grafické karty... je z čeho vybírat ** Počítač ale nemusíte skládat, ukážeme i výhodné hotové počítače

Stanislav Janů | 8

Na čem běží Seznam.cz: Běžný standard už nestačí, přechází na vlastní cloud i servery

Na čem běží Seznam.cz: Běžný standard už nestačí, přechází na vlastní cloud i servery

** Seznam nám prozradil detaily k jeho nové platformě SCIF ** V rámci jednoho privátního cloudu sjednocuje většinu služeb ** Vedle softwaru vyvíjí i vlastní hardware

Karel Javůrek | 14