Přihlásit se

Nový trik pro šíření virů

3. února 2003
MV2 Player – český a skvělý SDÍLET NA FACEBOOKU TWEETNOUT
Všichni uživatelé Outlook Expressu by si měli dát pozor na přílohy obsahující zdánlivě neškodné obrázky.
V poslední době se začal objevovat nový trik pro šíření virů a trojských koní. Upozornil na něj Message Labs a tuto metodu například využívá trojský kůň Sadhound (sám se nešíří, jen škodí). Celý vtip spočívá v několikanásobném uvedení přípon u názvu souboru v příloze. Message Labs ve svém popisu není nijak zvlášť konkrétní, jako příklad podvrženého souboru uvádí:

“malware.JPG              .EXE                  .JPG”

s tím, že tento zápis není přesný. To, o co tu jde, je počet mezer a postup při zpracovávání názvů příloh. Outlook Express určuje ikonku u přílohy podle poslední přípony v názvu souboru, tedy například JPG. Uživatel potom jako název souboru vidí krátký název souboru, kde je také JPG. Chyták je v tom, že při zpracovávání e-mailu dojde k ořezání příliš dlouhých názvů příloh a tak se skutečný název přílohy zkrátí k příponě .EXE. Potom se tedy soubor v příloze bude spouštět jako běžný EXE soubor, i když bude mít ikonku jako JPG soubor a název jako JPG soubor.

Takto upravené názvy souborů nelze jen tak vložit z nějakého běžného e-mailového klienta, je nutné celý e-mail vytvořit ručně v jeho nativním textovém formátu. To ale pro autory červů, trojských koní a virů obecně není zas takový problém, potřebných nástrojů k tvorbě takovýchto e-mailů je dostatek.

Důležité je, že na tento podfuk mohou naletět pouze uživatelé Outlook Expressu, kde je navíc jméno souboru z přílohy doplněno i o tři tečky, tedy například „README.bmp …“. V Outlooku se takový e-mail zobrazí jako obrázek, jako obrázek se ale také spustí. Když vám takový e-mail dorazí, stačí si uložit přílohu (třeba Readme.bmp) a prohlédnout si ji v textovém prohlížeči – znaky MZ formát BMP jistě nezačíná. Stejně tak si můžete prohlédnout hlavičku e-mailu a zjistíte, že za názvem přílohy je nějak příliš mnoho mezer.

Podle Message Labs se v současné době takto údajně šíří pouze trojské koně, někdo prostě hromadně rozešle e-maily na spoustu adres a spuštěný program se dál nereplikuje. S tím bych si ale nebyl již tak úplně jistý, protože již mám ve své schránce několik e-mailů s takovýmito přílohami (podvržené upozornění na novou verzi Comctl32.ocx obsahující EXE se SMTP enginem), které byly rozeslány z účtu na vol.cz.

Diskuze (51) Další článek: MV2 Player – český a skvělý

Témata článku: Podvržený soubor, Šíření, Siren, Sir, TRI, Trojský kůň, Nový, Nový trik, Trik, Pro, Mezera, Message




Doporučujeme

Dubnový Computer

Aktuální číslo časopisu Computer

Jak používat VR k práci

Megatest 18 levných monitorů

Test lokátorů s Bluetooth

Průvodce nákupem RAM

Kupte si časopis nebo předplatné

O webu


AVmania.cz

Proč si předplatit Netflix? Třeba kvůli těmto filmům. Všechny mají dabing nebo české titulky

AVmania.cz

Nejpirátěnější filmy: Co se teď nejvíc stahuje (aktualizace duben 2024)

SportRevue.cz

VIDEO: Legendární „Žvejka“ a dalších 8 nezapomenutelných reklam Jaromíra Jágra

Blesk.cz

Obézního pacienta z bytu vyndávali oknem: 336 kg vážícího muže stěhoval jeřáb

Reflex.cz

Izsáková: Slováci jsou hrdý národ! Miliony eur pro Ukrajinu od lidí jsou začátek, místo vlády pomohou Češi

Reflex.cz

Zpravodajec Libor Kutěj: Největší hrozby jsou Rusko, nelegální migrace a umně vyrobené dezinformace

Živě.cz

Lidstvo odemyká neomezený zdroj čisté energie. Vědci popsali „zázračný“ enzym, který získává elektřinu ze vzduchu

Živě.cz

Z kola za 30 sekund elektrokolo. Stačí namontovat motor na sedlovku

Auto.cz

Dacia Spring přijíždí na český trh, i bez dotace je za hubičku

Auto.cz

TEST Audi A4 Avant 40 TDI – Dlouhé nohy za skvělou cenu