Nová varianta Dumaru Y

Internetovou poštou se šíří nová varianta Y emailového červa Dumaru. Jedná se o multifunkčního červa, který kromě klasických funkčností na napadeném počítači otevírá „zadní vrátka“ pro útočníka a monitoruje klávesnici. Svoji funkčností se velmi podobá starší variantě Dumaru.M.

Od: "Elene" <F**KENSUICIDE@HOTMAIL.COM> (censored)
Předmět: Important information for you. Read it immediately !

Text zprávy:
Hi !

Here is my photo, that you asked for yesterday.

V příloze emailu je soubor myphoto.zip o délce 17 kB, který obsahuje vlastní zavirované tělo červa komprimované pomocí FSG. Tento zkomprimovaný soubor je pojmenován jako myphoto.jpg [56 mezer].exe.

Pokud dojde k aktivaci – spuštění – přílohy, provedou se následující činnosti:

  • tělo červa se nakopíruje do adresáře System operačního systému pod jmény l32x.exe, vxd32v.exe, dllxw.exe
  • následně je na první z uvedených souborů vytvořen odkaz do systémového registru, který zajistí pravidelné spouštění červa po restartu Windows
  • červ prohledá všechny soubory na lokálním disku typu *.htm, *.html, *.dbx, *.wab, *.tbb, *.abd. Pokud v nějaké souboru nalezne emailovou adresu, odešle svoji zkomprimovanou podobu pomocí vlastního SMTP enginu na tento email.
  • červ se pomocí nového vlákna napojí přímo do operačního systému, čímž může kontrolovat některé stavy a situace. Této pozice je využíváno při krádeži hesel zadávaných do webových formulářů a aplikací. Všechna nalezená hesla jsou uschovávány v souboru vxdload.log
  • další vlákno červa je schopno kopírovat určité informace splňující kritéria ze schránky do souboru rundllx.sys
  • pokud červ nenajde aktivní připojení k internetu, provádí test na připojení v intervalu půl sekundy
  • červ také nezapomíná na možnost „dálkového ovládání“ – na počítači otevře port 10000, na kterém naslouchá. Dále otevírá k dalším činnostem také port 2283. Tím červ dává možnost přístupu eventuálního útočníka, který může získat plnou kontrolu nad napadeným strojem.
  • pokud nasbírané informace dosáhnou určité velikosti, jsou odesílány na jednu z mnoha emailových adres.

Emailové červy se svým spektrem prováděných činností neustále „zlepšují“, proto není radno jejich případnou aktivitu podceňovat. Samozřejmě antivirové společnosti zareagovaly a většina z nich již nabízí aktualizace virových definicí.

Diskuze (2) Další článek: Style XP 2.0 – kompletní předělávka Windows XP v jednom balíku

Témata článku: Windows, Yesterday, Nová varianta, Plná funkčnost, Varianta, Systémová schránka, Duma, Here


Aktuální číslo časopisu Computer

Velký test autokamer

Test ATX skříní

Jak surfovat pohodlně

Sportovní aplikace

Jak funguje procesor