Světem internetu se začíná šířit nový trojský kůň s názvem Trojan.Xombe. Jeho další známá jména jsou Troj/Dloader-L (Sophos) a Downloader-GJ (McAfee).
Tento trojský kůň se skládá (minimálně) ze dvou komponent. První částí je souboru o velikosti 4.096 bajtů, který se šíří v nevyžádaném emailu (spam) a tváří se jako aktualizace pro systém Windows XP od společnosti Microsoft. Napodobuje tím tak chování v minulosti poměrně úspěšného červa Swen, který se rovněž vydával za aktualizaci od Microsoftu. Druhá část o velikosti 27 136 bajtů je stahována z internetu z předem definované adresy pomocí výše uvedeného souboru.
Zde jsou charakteristické znaky pro infikovaný nevyžádaný email:
Od: windowsupdate@microsoft.com
Předmět: Windows XP Service Pack 1 (Express) - Critical Update.
Tělo zprávy:
Window Update has determined that you are running a beta version of Windows XP Service Pack 1 (SP1). To help improve the stability of your computer, Microsoft recommends that you remove the beta version of Windows XP SP1 and re-install Windows XP SP1. If you cannot remove the beta version, you should still reinstall Windows XP SP1.
Windows XP SP1 provides the latest security, reliability, and performance updates to the Windows XP family of operating systems. Windows XP SP1 is designed to ensure Windows XP platform compatibility with newly released software and hardware, and includes updates to resolve issues discovered by customers or by Microsoft`s internal testing team.
The maximum download size is approximately 3 MB, however the size of the download and time required may be less for computers that have had updates previously installed.
To minimize the download time needed for installation, setup will only download those files which are required to bring your computer up to date. Windows XP SP1 includes Internet Explorer 6 SP1. Anti-virus software programs may interfere with the installation of Windows XP SP1. Please disable anti-virus software while installing the service pack.
Just run the file winxp_sp1.exe in attach and make sure to restart your PC after installation will be completed.
©2004 Microsoft Corporation.
All rights reserved. Terms of Use <http://www.microsoft.com/info/copyright.htm>
Privacy Statement <http://www.microsoft.com/info/privacy.htm>
V příloze emailu je výše uváděný soubor winxp_sp1.exe o velikosti 4.096 bajtů. V případě náhodného spuštění dojde ke stažení vlastního těla trojského koně a jeho aktivaci, po které se provedou následující operace:
Trojský kůň se zkopíruje do systémového adresáře operačního systému pod jménem msvchost.exe. Do systémového registru se zároveň vloží záznam vedoucí na tento soubor, který zajistí pravidelnou aktivaci po restartu počítače.
Dále se trojan pokusí znovu připojit na předdefinovanou webovou adresu, kam pomocí připravených skriptů zasílá informace o verzi Windows, verzi trojského koně a zemi, ze které se připojuje. Tyto informace mohou být dále neomezeně rozšířeny o další podrobnosti. Ohroženými operačními systémy jsou Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP a Windows Server 2003.
Prakticky všechny antivirové společnosti již mají trojského koně Xombe v antivirových definicích – nezapomeňte tedy na aktualizaci vašeho antivirového programu. A na závěr nezapomeňte – každý takovýto email, který se tváří jako aktualizace od společnosti Microsoft, je falešný – Microsoft nikdy podle svých zásad s informačními bulletiny nerozesílá přílohy – ty je vždy nutno stáhnout z jejich internetových stránek.