Nový červ s automatickou aktivací připomíná Code Red

Stačí otevřít Outlook a mít jen zapnuté okno s náhledem. Ani nevíte jak a už pomalu instalujete nového značně nepříjemného červa.
Včera se začal během dne velmi rychle šířit nový virus W32/Nimda.A. Připojen je jako příloha e-mailu s názvem "readme.exe". Pokud dostanete poštu s takovýmto souborem v žádném případě ho nespouštějte! Tělo emailu je prázdné (ovšem u programů Microsoft Outlook nebo Outlook Express může být využito chyby pro automatické spuštění), hlavička e-mailu je generována náhodně.

Červ je schopen se automaticky iniciovat v rámci Outlooku i Outlook Expressu. Automatické spuštění v Outlooku virus nenainstaluje, pouze automaticky nabídne ke spuštění soubor readme.exe a spustí přehrávač nastavený pro spouštění WAV souborů (MIME typ přílohy je WAV soubor). Je více než doporučená instalace posledních záplat na Outlook.

Po spuštění se virus nakopíruje do systémového adresáře jako load.exe a do TEMP adresáře jako MEP*.TMP.EXE. Modifikuje soubor riched20.dll. Soubor riched20.dll je používán pro práci se soubory RTF, například ve Wordpadu. Modifikuje i legitimní soubory jako mmc.exe a možná i jiné.

Pokud máte nainstalován IIS s neopravenou chybou Unicode Web Traversal Exploit vytváří i soubory ADMIN.DLL v adresářích c:, d: a c:\Inetpub\scripts. Do ASP souborů přidává následující kód <script language="JavaScript">window.open("readme.eml", null, resizable=no,top=6000,left=6000")</script>. Nemusí to být pouze soubor readme.eml je nahrazován i soubory něco.eml.

Aby mohl být virus spuštěn s každým startem počítače modifikuje soubor system.ini, kam přidá řádek:

shell=explorer.exe load.exe -dontrunold

Co provádí dále?

Rozešle se na všechny emailové adresy kolegů ve vašem adresáři, hledá pozůstatky po červu Code Red a využívá hromady dalších slabin MS IIS, například scanuje další počítače, kde pase po cmd.exe. Infikuje servery s MS IIS vzájemně mezi sebou, podobně jako Code Red. Ve Windows NT využívá tftp.exe pro další šíření viru. Poslední věc, kterou se mně podařilo o viru zjistit je, že Windows NT a 2000 aktivuje Guest přístup bez hesla a přidá ho do skupiny Administrators. Poté nasdílí adresář C:\ se všemi přístupovými právy.

Počty requestů jsou údajně mnohem větší než byly u Code Red (uvádí se 10krát, někde až 100krát početnější). Servery mohou začít být nepřístupné (DoS). Rychlá a bezplatná odinstalace jako například u Sircamu není zatím k dispozici :(

Diskuze (46) Další článek: Dell uvedl na trh nový typ počítače Dimension 8200

Témata článku: Microsoft, Windows, Unicode, Nový, Automatic, Aktivace, Aktiva, Červ, Akt, Red


Určitě si přečtěte

Elon Musk podpořil Signal jako náhradu WhatsAppu. Aplikaci okamžitě zavalili uživatelé
Markéta Mikešová
WhatsAppElon MuskFacebook
Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 4

redakce
Mapy GoogleStreet View
Pozor na tyto doplňky pro Chrome a Edge. Mohou obsahovat malware, varuje Avast
Jakub Čížek
MalwareProhlížeče
Zapomeňte na destičky. Raspberry Pi 400 je nový počítač zabudovaný do klávesnice
Lukáš Václavík
Raspberry PiPočítače
Messenger a Instagram přicházejí v Evropě o funkce. Kvůli nové směrnici o soukromí
Vladislav Kluska
EvropaInstagramFacebook Messenger
Fedora 33 prostě funguje. Linux si zaslouží dobýt laptop, je to ale asi opět marné

Fedora 33 prostě funguje. Linux si zaslouží dobýt laptop, je to ale asi opět marné

** Desktopový Linux funguje a vypadá stále lépe ** Fedora 33 není výjimkou ** Ve stínu Windows a macOS tu vyrostly skvělé alternativy

Jakub Čížek | 162

Jakub Čížek
FedoraOperační systémyLinux
Šéf Spotify: Budeme zdražovat. Náš obsah se zlepšil
Markéta Mikešová
PředplatnéSpotify
Japonská MANA může být 80× výkonnější než sebelepší tranzistorový procesor

Japonská MANA může být 80× výkonnější než sebelepší tranzistorový procesor

** Tranzistory současných počítačů vyzařují při přepínání teplo ** Na Tokijské univerzitě proto vyvíjejí adiabatické procesory ** Využívají supravodivost a jsou 80× úspornější

Jakub Čížek | 44

Jakub Čížek
TranzistoryProcesoryTechnologie

Aktuální číslo časopisu Computer

Jak prodloužit výdrž notebooku

Velké testy: gamepady a inkoustové tiskárny

Důkladný test Sony Playstation 5