Nová varianta červa Mimail.T

Internetový červ Mimail se stále drží na čelních místech žebříčků virových aktivit a to hlavně díky velkému množství mutací, které se po světě šíří. Nově objevená varianta se mírně liší od předchozích – nepokouší se podvrženým formulářem zjistit údaje o kreditní kartě, ale zase pro doplnění spektra činností provádí DoS útoky na předdefinované webové adresy.

Mutace T se stejně jako všechny ostatní varianty šíří pomocí hromadně rozesílaných emailů se zavirovanou přílohou. Samotný email má následující charakteristiku:

Texty kolonek Od, Předmět a vlastní tělo zprávy jsou náhodně vygenerovány. Stejně tak jméno přiloženého souboru je vygenerováno z následujících fragmentů:

První část jména přílohy o délce 14 880 bajtů obsahuje jedno z následujících slov:

  • my
  • priv
  • private
  • prv
  • the
  • best
  • super
  • great
  • cool
  • wild
  • sex
  • fXck

Tato část je doplněna jedním či dvěma podtržítky nebo tečkou a pokračuje jedním z následujících slov:

  • pic
  • img
  • phot
  • photos
  • pctrs
  • images
  • imgs
  • scene
  • plp
  • act
  • action

Na závěr je jméno souboru doplněno příponou:

  • .pif
  • .scr
  • .exe
  • .jpg.scr
  • .jpg.pif
  • .jpg.exe
  • .gif.exe
  • .gif.pif
  • .gif.scr

Pokud uživatel tuto nebezpečně vypadající přílohu opravdu spustí, dojde na lokálním počítači k následujícím akcím:

  1. Červ zkopíruje svůj kód do adresáře Windows pod jmény Kaspersky.exe a Ee98af.tmp. První spustitelný soubor tak může budit falešný dojem, že se jedná o antivirový program společnosti Kaspersky.
  2. Červ sám sebe zaregistruje jako službu operačního systému.
  3. V systémovém registru vytvoří položku "KasperskyAv" = " %Windir%\kaspersky.exe" v klíčí HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, čímž si zajistí automatické spuštění i po restartu systému.
  4. Pomocí testu spojení na IP adresu stránek www.google.com se pokouší zjistit, zda je napadený počítač aktuálně připojen k Internetu.
  5. Prochází všechny soubory kromě typů *.jpg, *.gif, *.exe, *.dll, *.avi, *.mpg, *.mp3, *.vxd, *.ocx, *.psd, *.tif, *.zip, *.rar, *.pdf, *.cab, *.wav, *.com a hledá v nich emailové adresy.
  6. Pomocí vlastního SMTP enginu následně na tyto adresy odesílá kopii zavirovaného emailu.
  7. Pro každou emailovou adresu se červ pokouší zjistit adresu poštovního serveru, který patří k cílové doméně emailové adresy a to buď podle systémového DNS serveru nebo pomocí DNS serveru na IP adrese 212.5.86.163. Poté SMTP engine kontaktuje přímo cílový mail server.
  8. Červ dále provádí DoS (Denial of Service) útok následujících parametrů:
    - náhodně vybírá z následujících domén:

-darkprofits.net
-darkprofits.cc
-darkprofits.com
-spew.org

- náhodně navazuje TCP spojení na portu 80 nebo provádí ICMP útok. Pakety, které odesílá obsahují 2kB dat vyplněných náhodnými znaky.

- při provádění http spojení červ zasílá náhodná data za použití GET požadavku.

V samotném těle červa je vložen následující text:

*** GLOBAL WARNING: if any free email company or hosting company will close/filter my email/site accounts, it will be DDoS`ed in next version.
WARNING: centrum.cz will be DDoS`ed in next versions, coz they have closed my mimail-email account. Who next? ***

Pokud se dobře podíváte, autor se snaží vyhrožovat společnostem, které by chtěly jeho variantu červa
nějakým způsobem odfiltrovat, DoS útokem z další verze červa.

Nezapomeňte na aktualizaci vašeho antivirového programu.

Diskuze (4) Další článek: Přítelkyně k pronajmutí na eBay končí

Témata článku: Google, Windows, Varianta, Mim, RAR, Fragment, Podvržený soubor, Images, Náhodný znak, Červ, Will, Nová varianta, Company, Wild, Next, Email


Určitě si přečtěte

Pojďme programovat elektroniku: Rádiový čip, který má skoro každá bezdrátová myš

Pojďme programovat elektroniku: Rádiový čip, který má skoro každá bezdrátová myš

** Bezdrátové myši řídí čip od Nordic Semiconductors ** Jeho rádiové vysílače si před lety oblíbila i komunita kutilů ** Dnes si je vyzkoušíme v praxi

Jakub Čížek | 9

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

** Strojové učení ještě nepřitáhlo takový zájem jako na začátku prázdnin ** Ne, umělá inteligence nenašla lék na rakovinu ** Naučila se svlékat ženy nejen z plavek

Jakub Čížek | 35

Starý smartphone nemusí skončit v koši. 10 způsobů, jak ho ještě můžete využít

Starý smartphone nemusí skončit v koši. 10 způsobů, jak ho ještě můžete využít

** Co dělat s vysloužilým chytrým telefonem? Neházejte ho do koše! ** Našli jsme pro vás deset možností, jak ho prakticky využít ** I stará zařízení tak mohou být užitečná

Karel Kilián | 48


Aktuální číslo časopisu Computer

Megatest: 20 powerbank s USB-C

Test: mobily do 3 500 Kč

Radíme s výběrem routeru

Tipy na nejlepší vánoční dárky