Nová varianta červa Mimail.T

Internetový červ Mimail se stále drží na čelních místech žebříčků virových aktivit a to hlavně díky velkému množství mutací, které se po světě šíří. Nově objevená varianta se mírně liší od předchozích – nepokouší se podvrženým formulářem zjistit údaje o kreditní kartě, ale zase pro doplnění spektra činností provádí DoS útoky na předdefinované webové adresy.

Mutace T se stejně jako všechny ostatní varianty šíří pomocí hromadně rozesílaných emailů se zavirovanou přílohou. Samotný email má následující charakteristiku:

Texty kolonek Od, Předmět a vlastní tělo zprávy jsou náhodně vygenerovány. Stejně tak jméno přiloženého souboru je vygenerováno z následujících fragmentů:

První část jména přílohy o délce 14 880 bajtů obsahuje jedno z následujících slov:

  • my
  • priv
  • private
  • prv
  • the
  • best
  • super
  • great
  • cool
  • wild
  • sex
  • fXck

Tato část je doplněna jedním či dvěma podtržítky nebo tečkou a pokračuje jedním z následujících slov:

  • pic
  • img
  • phot
  • photos
  • pctrs
  • images
  • imgs
  • scene
  • plp
  • act
  • action

Na závěr je jméno souboru doplněno příponou:

  • .pif
  • .scr
  • .exe
  • .jpg.scr
  • .jpg.pif
  • .jpg.exe
  • .gif.exe
  • .gif.pif
  • .gif.scr

Pokud uživatel tuto nebezpečně vypadající přílohu opravdu spustí, dojde na lokálním počítači k následujícím akcím:

  1. Červ zkopíruje svůj kód do adresáře Windows pod jmény Kaspersky.exe a Ee98af.tmp. První spustitelný soubor tak může budit falešný dojem, že se jedná o antivirový program společnosti Kaspersky.
  2. Červ sám sebe zaregistruje jako službu operačního systému.
  3. V systémovém registru vytvoří položku "KasperskyAv" = " %Windir%\kaspersky.exe" v klíčí HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, čímž si zajistí automatické spuštění i po restartu systému.
  4. Pomocí testu spojení na IP adresu stránek www.google.com se pokouší zjistit, zda je napadený počítač aktuálně připojen k Internetu.
  5. Prochází všechny soubory kromě typů *.jpg, *.gif, *.exe, *.dll, *.avi, *.mpg, *.mp3, *.vxd, *.ocx, *.psd, *.tif, *.zip, *.rar, *.pdf, *.cab, *.wav, *.com a hledá v nich emailové adresy.
  6. Pomocí vlastního SMTP enginu následně na tyto adresy odesílá kopii zavirovaného emailu.
  7. Pro každou emailovou adresu se červ pokouší zjistit adresu poštovního serveru, který patří k cílové doméně emailové adresy a to buď podle systémového DNS serveru nebo pomocí DNS serveru na IP adrese 212.5.86.163. Poté SMTP engine kontaktuje přímo cílový mail server.
  8. Červ dále provádí DoS (Denial of Service) útok následujících parametrů:
    - náhodně vybírá z následujících domén:

-darkprofits.net
-darkprofits.cc
-darkprofits.com
-spew.org

- náhodně navazuje TCP spojení na portu 80 nebo provádí ICMP útok. Pakety, které odesílá obsahují 2kB dat vyplněných náhodnými znaky.

- při provádění http spojení červ zasílá náhodná data za použití GET požadavku.

V samotném těle červa je vložen následující text:

*** GLOBAL WARNING: if any free email company or hosting company will close/filter my email/site accounts, it will be DDoS`ed in next version.
WARNING: centrum.cz will be DDoS`ed in next versions, coz they have closed my mimail-email account. Who next? ***

Pokud se dobře podíváte, autor se snaží vyhrožovat společnostem, které by chtěly jeho variantu červa
nějakým způsobem odfiltrovat, DoS útokem z další verze červa.

Nezapomeňte na aktualizaci vašeho antivirového programu.

Diskuze (4) Další článek: Přítelkyně k pronajmutí na eBay končí

Témata článku: Google, Windows, Červ, Next, Mim, VAR, RAR, Email, Podvržený soubor, Images, Náhodný znak, Fragment, Will, Wild, Nová varianta, Varianta, Company


Určitě si přečtěte

Co když chce Microsoft nahradit Windows Linuxem. Dokážete si to představit?

Co když chce Microsoft nahradit Windows Linuxem. Dokážete si to představit?

** Windows už dávno nejsou pilířem podnikání Microsoftu ** Mnohem více mu vydělává cloud ** Pojďme si trošku zaspekulovat, kam až by to mohlo zajít

Jakub Čížek | 95

10 věcí, které nás štvou na Windows 10 a bohužel asi jen tak nepřestanou

10 věcí, které nás štvou na Windows 10 a bohužel asi jen tak nepřestanou

** Windows 10 je na trhu 5 let, ale pořád má velké rezervy ** Ani desátá velká aktualizace, která vyjde na podzim, je nevyřeší ** Štvou nás Windows Update, Store, Nastavení atd.

Lukáš Václavík | 148

10 míst na mapách Googlu, která nesmíte vidět. Nahradily je čtverečky

10 míst na mapách Googlu, která nesmíte vidět. Nahradily je čtverečky

** Deset míst, které nesmíte vidět ve webových mapách ** Jsou to letiště, základny i elektrárny ** Nejvíce míst tají Francie

Jakub Čížek | 21


Aktuální číslo časopisu Computer

Velký test fitness náramků

Levné záložní zdroje

Jak si zabezpečit domov

Nejlepší monitory na trhu