Píše vám support@microsoft.com? Bude to virus

Nový virus s označením Palyh nebo Mankx se začal kupodivu šířit i u nás. Naštěstí vlastním přičiněním přestane koncem května škodit.
Nové viry přibývají pomalu každým dnem, o spoustě z nich ale nemá smysl psát, jelikož se nijak významně nerozšíří. Nový Mankx, který se začal šířit ve světě o víkendu a v pondělí již v řadě exemplářů navštívil mou e-mailovou schránku je aktivnější. Sice ještě na vytrvalou Gandu nemá, ale těch pár dní, co mu bylo dáno, ještě bude chtít využít.

Popravdě nejde o žádnou sofistikovanou záležitost využívající díru v nějakém programu. Jde o staré dobré sociální inženýrství, prostě něco, co vypadá důvěryhodně.

Virus se tedy šíří v e-mailu, který jakoby pochází od support@microsoft.com a zpráva se jmenuje poměrně nelákavě (například Re: Your application), V těle zprávy není nic mimo textu "All information is in the attached file.", je tam jen příloha. Příloha má příponu PIF, což je pochopitelně přípona přímo spustitelných programů, jen se v současnosti už moc nepoužívá a tak ji nemusí lidé pokládat za nebezpečnou. PIF je původně něco jako soubor pro spouštění aplikace ve Windows, obsahuje konfiguraci a parametry nutné pro spuštění. Dnes se ale už nepoužívá. Ačkoli nakažený e-mail obsahuje soubor s příponou PIF, jedná se o normální soubor EXE. Windows pracuje se soubory dle jejich obsahu, takže ten soubor normálně spustí, i když nejde opravdu o PIF.

E-mail obsahuje jeden z následujících předmětů zprávy:

Your details
Approved (Ref: 38446-263)
Re: Approved (Ref: 3394-65467)
Your password
Re: My details
Screensaver
Cool screensaver
Re: Movie
Re: My application

Příloha je jeden z následujících souborů:

your_details.pif
ref-394755.pif
approved.pif
password.pif
doc_details.pif
screen_temp.pif
screen_doc.pif
movie28.pif
application.pif

Každopádně je ale vcelku jedno, s jakou konkrétní přílohou či předmětem zprávy e-mail dorazí, již běžná opatrnost by vám neměla dovolit přílohu spustit.

Po spuštění se vir uloží do složky Windows pod jménem msccn32.exe a v registrech nastaví své spouštění při startu systému. Mimo to se ještě pokusí stáhnout ze čtyř stránek na Geocities data a uložit je na disk do souborů hnks.ini a msdbrr.ini.

Červ se pokouší nakopírovat přes síťová sdílení na jiné počítače do složek Windows\All Users\Start Menu\Programs\StartUp a Documents and Settings\All Users\Start Menu\Programs\Startup, což je naštěstí u českých Windows vcelku bez efektu, tam se složky pro spouštění při startu jmenují jinak.

Pak se vir pokusí získat ze souborů TXT, EML, HTML, HTM, DBX, WAB e-mailové adresy a rozeslat se na ně.

Autor viru (podle antivirových firem zřejmě pocházející z Holandska) udělal poměrně fatální chybu spolehnutím se na aktualizaci vira přes servery Geocities. V podobných případech jsou internetové adresy využívané viry téměř okamžitě znefunkčněny.

Jak totiž uvádí Kaspersky Labs, autor nastavil v kódu vira, aby se všechny rutiny zastavily 31. května s výjimkou té zajišťující aktualizaci. Protože servery s aktualizací ale budou tou dobou jistě vypnuté, vir se prostě zastaví. Kdo se tedy nakazí a nebude nic dělat, bude mít za pár dní na počítači jen jednu neškodnou mrtvolku navíc.

Diskuze (17) Další článek: Švindluje Nvidia ve výkonnostních testech?

Témata článku: Microsoft, Windows, Startup, Následující den, Opatrnost, Cool, Píš, Nebezpečná příloha

Určitě si přečtěte


Aktuální číslo časopisu Computer

Zachraňte nefunkční Windows

Jak nakupovat a prodávat kryptoměny

Otestovali jsme konvertibilní notebooky

Velký test 14 herních myší