Nový trik pro šíření virů

Všichni uživatelé Outlook Expressu by si měli dát pozor na přílohy obsahující zdánlivě neškodné obrázky.
Nový trik pro šíření virů
V poslední době se začal objevovat nový trik pro šíření virů a trojských koní. Upozornil na něj Message Labs a tuto metodu například využívá trojský kůň Sadhound (sám se nešíří, jen škodí). Celý vtip spočívá v několikanásobném uvedení přípon u názvu souboru v příloze. Message Labs ve svém popisu není nijak zvlášť konkrétní, jako příklad podvrženého souboru uvádí:

“malware.JPG              .EXE                  .JPG”

s tím, že tento zápis není přesný. To, o co tu jde, je počet mezer a postup při zpracovávání názvů příloh. Outlook Express určuje ikonku u přílohy podle poslední přípony v názvu souboru, tedy například JPG. Uživatel potom jako název souboru vidí krátký název souboru, kde je také JPG. Chyták je v tom, že při zpracovávání e-mailu dojde k ořezání příliš dlouhých názvů příloh a tak se skutečný název přílohy zkrátí k příponě .EXE. Potom se tedy soubor v příloze bude spouštět jako běžný EXE soubor, i když bude mít ikonku jako JPG soubor a název jako JPG soubor.

Takto upravené názvy souborů nelze jen tak vložit z nějakého běžného e-mailového klienta, je nutné celý e-mail vytvořit ručně v jeho nativním textovém formátu. To ale pro autory červů, trojských koní a virů obecně není zas takový problém, potřebných nástrojů k tvorbě takovýchto e-mailů je dostatek.

Důležité je, že na tento podfuk mohou naletět pouze uživatelé Outlook Expressu, kde je navíc jméno souboru z přílohy doplněno i o tři tečky, tedy například „README.bmp …“. V Outlooku se takový e-mail zobrazí jako obrázek, jako obrázek se ale také spustí. Když vám takový e-mail dorazí, stačí si uložit přílohu (třeba Readme.bmp) a prohlédnout si ji v textovém prohlížeči – znaky MZ formát BMP jistě nezačíná. Stejně tak si můžete prohlédnout hlavičku e-mailu a zjistíte, že za názvem přílohy je nějak příliš mnoho mezer.

Podle Message Labs se v současné době takto údajně šíří pouze trojské koně, někdo prostě hromadně rozešle e-maily na spoustu adres a spuštěný program se dál nereplikuje. S tím bych si ale nebyl již tak úplně jistý, protože již mám ve své schránce několik e-mailů s takovýmito přílohami (podvržené upozornění na novou verzi Comctl32.ocx obsahující EXE se SMTP enginem), které byly rozeslány z účtu na vol.cz.

Diskuze (51) Další článek: MV2 Player – český a skvělý

Témata článku: Mezera, Šíření, Nový, Podvržený soubor, Trik, Nový trik, Message, Siren, Trojský kůň


Určitě si přečtěte

Inteligentní akvárium Bluenero se o rybičky postará samo

Inteligentní akvárium Bluenero se o rybičky postará samo

** Chcete chovat akvarijní rybičky, ale nemáte čas se o ně starat? ** Chytré akvárium je samo nakrmí a postará se o jejich komfort ** Projekt Bluenero zatím sbírá finance na Indiegogo

Karel Kilián | 20

Alza si za osobní odběr účtuje už 45 Kč. Když zaplatíte předem, dostanete slevu

Alza si za osobní odběr účtuje už 45 Kč. Když zaplatíte předem, dostanete slevu

** Osobní odběr v Alze vyjde na 45 Kč ** Když zaplatíte kartou předem, dostanete slevu 30 Kč ** Většina ostatních e-shopů poplatek za osobní odběr nevede

David Polesný | 171


Aktuální číslo časopisu Computer

Jak vytvořit a spravovat vlastní web

Velký test herních klávesnic a DVB-T2 tunerů

Vše o formátu RAW

Vybíráme nejlepší základní desku