Nový trik pro šíření virů

Všichni uživatelé Outlook Expressu by si měli dát pozor na přílohy obsahující zdánlivě neškodné obrázky.
Nový trik pro šíření virů
V poslední době se začal objevovat nový trik pro šíření virů a trojských koní. Upozornil na něj Message Labs a tuto metodu například využívá trojský kůň Sadhound (sám se nešíří, jen škodí). Celý vtip spočívá v několikanásobném uvedení přípon u názvu souboru v příloze. Message Labs ve svém popisu není nijak zvlášť konkrétní, jako příklad podvrženého souboru uvádí:

“malware.JPG              .EXE                  .JPG”

s tím, že tento zápis není přesný. To, o co tu jde, je počet mezer a postup při zpracovávání názvů příloh. Outlook Express určuje ikonku u přílohy podle poslední přípony v názvu souboru, tedy například JPG. Uživatel potom jako název souboru vidí krátký název souboru, kde je také JPG. Chyták je v tom, že při zpracovávání e-mailu dojde k ořezání příliš dlouhých názvů příloh a tak se skutečný název přílohy zkrátí k příponě .EXE. Potom se tedy soubor v příloze bude spouštět jako běžný EXE soubor, i když bude mít ikonku jako JPG soubor a název jako JPG soubor.

Takto upravené názvy souborů nelze jen tak vložit z nějakého běžného e-mailového klienta, je nutné celý e-mail vytvořit ručně v jeho nativním textovém formátu. To ale pro autory červů, trojských koní a virů obecně není zas takový problém, potřebných nástrojů k tvorbě takovýchto e-mailů je dostatek.

Důležité je, že na tento podfuk mohou naletět pouze uživatelé Outlook Expressu, kde je navíc jméno souboru z přílohy doplněno i o tři tečky, tedy například „README.bmp …“. V Outlooku se takový e-mail zobrazí jako obrázek, jako obrázek se ale také spustí. Když vám takový e-mail dorazí, stačí si uložit přílohu (třeba Readme.bmp) a prohlédnout si ji v textovém prohlížeči – znaky MZ formát BMP jistě nezačíná. Stejně tak si můžete prohlédnout hlavičku e-mailu a zjistíte, že za názvem přílohy je nějak příliš mnoho mezer.

Podle Message Labs se v současné době takto údajně šíří pouze trojské koně, někdo prostě hromadně rozešle e-maily na spoustu adres a spuštěný program se dál nereplikuje. S tím bych si ale nebyl již tak úplně jistý, protože již mám ve své schránce několik e-mailů s takovýmito přílohami (podvržené upozornění na novou verzi Comctl32.ocx obsahující EXE se SMTP enginem), které byly rozeslány z účtu na vol.cz.

Diskuze (51) Další článek: MV2 Player – český a skvělý

Témata článku: Podvržený soubor, Mezera, Trik, Šíření, Message, Trojský kůň, Nový, Nový trik

Určitě si přečtěte


Aktuální číslo časopisu Computer

Zachraňte nefunkční Windows

Jak nakupovat a prodávat kryptoměny

Otestovali jsme konvertibilní notebooky

Velký test 14 herních myší