Píše vám support@microsoft.com? Bude to virus

Nový virus s označením Palyh nebo Mankx se začal kupodivu šířit i u nás. Naštěstí vlastním přičiněním přestane koncem května škodit.
Nové viry přibývají pomalu každým dnem, o spoustě z nich ale nemá smysl psát, jelikož se nijak významně nerozšíří. Nový Mankx, který se začal šířit ve světě o víkendu a v pondělí již v řadě exemplářů navštívil mou e-mailovou schránku je aktivnější. Sice ještě na vytrvalou Gandu nemá, ale těch pár dní, co mu bylo dáno, ještě bude chtít využít.

Popravdě nejde o žádnou sofistikovanou záležitost využívající díru v nějakém programu. Jde o staré dobré sociální inženýrství, prostě něco, co vypadá důvěryhodně.

Virus se tedy šíří v e-mailu, který jakoby pochází od support@microsoft.com a zpráva se jmenuje poměrně nelákavě (například Re: Your application), V těle zprávy není nic mimo textu "All information is in the attached file.", je tam jen příloha. Příloha má příponu PIF, což je pochopitelně přípona přímo spustitelných programů, jen se v současnosti už moc nepoužívá a tak ji nemusí lidé pokládat za nebezpečnou. PIF je původně něco jako soubor pro spouštění aplikace ve Windows, obsahuje konfiguraci a parametry nutné pro spuštění. Dnes se ale už nepoužívá. Ačkoli nakažený e-mail obsahuje soubor s příponou PIF, jedná se o normální soubor EXE. Windows pracuje se soubory dle jejich obsahu, takže ten soubor normálně spustí, i když nejde opravdu o PIF.

E-mail obsahuje jeden z následujících předmětů zprávy:

Your details
Approved (Ref: 38446-263)
Re: Approved (Ref: 3394-65467)
Your password
Re: My details
Screensaver
Cool screensaver
Re: Movie
Re: My application

Příloha je jeden z následujících souborů:

your_details.pif
ref-394755.pif
approved.pif
password.pif
doc_details.pif
screen_temp.pif
screen_doc.pif
movie28.pif
application.pif

Každopádně je ale vcelku jedno, s jakou konkrétní přílohou či předmětem zprávy e-mail dorazí, již běžná opatrnost by vám neměla dovolit přílohu spustit.

Po spuštění se vir uloží do složky Windows pod jménem msccn32.exe a v registrech nastaví své spouštění při startu systému. Mimo to se ještě pokusí stáhnout ze čtyř stránek na Geocities data a uložit je na disk do souborů hnks.ini a msdbrr.ini.

Červ se pokouší nakopírovat přes síťová sdílení na jiné počítače do složek Windows\All Users\Start Menu\Programs\StartUp a Documents and Settings\All Users\Start Menu\Programs\Startup, což je naštěstí u českých Windows vcelku bez efektu, tam se složky pro spouštění při startu jmenují jinak.

Pak se vir pokusí získat ze souborů TXT, EML, HTML, HTM, DBX, WAB e-mailové adresy a rozeslat se na ně.

Autor viru (podle antivirových firem zřejmě pocházející z Holandska) udělal poměrně fatální chybu spolehnutím se na aktualizaci vira přes servery Geocities. V podobných případech jsou internetové adresy využívané viry téměř okamžitě znefunkčněny.

Jak totiž uvádí Kaspersky Labs, autor nastavil v kódu vira, aby se všechny rutiny zastavily 31. května s výjimkou té zajišťující aktualizaci. Protože servery s aktualizací ale budou tou dobou jistě vypnuté, vir se prostě zastaví. Kdo se tedy nakazí a nebude nic dělat, bude mít za pár dní na počítači jen jednu neškodnou mrtvolku navíc.

Diskuze (17) Další článek: Švindluje Nvidia ve výkonnostních testech?

Témata článku: Microsoft, Windows, Následující den, Píš, Startup, Nebezpečná příloha, Cool, Opatrnost


Určitě si přečtěte

PortraitPro: Vyzkoušeli jsme program, který prý udělá z každé „žáby“ krasavici

PortraitPro: Vyzkoušeli jsme program, který prý udělá z každé „žáby“ krasavici

** V digitálním světě nemůžete věřit všemu ** Nová generace 3D fotoeditorů zvládne divy ** Vyzkoušeli jsme PortraitPro, který vám změní i kontaktní čočky

Jakub Čížek | 10

Dell XPS 13: Když vás ostatní doženou až za tři roky

Dell XPS 13: Když vás ostatní doženou až za tři roky

** XPS 13 nastartoval trend notebooků bez rámečků ** Letošní model kompletně přechází na USB-C ** Navzdory malému tělu se řadí výkon ke špičce

Tomáš Holčík | 34

Jak horko bude ve vašem městě, až vám bude 80 let? Podívejte se, jak se projeví klimatické změny!

Jak horko bude ve vašem městě, až vám bude 80 let? Podívejte se, jak se projeví klimatické změny!

** Srpen byl třetí nejteplejší za posledních více než sto let ** Bude to ale daleko horší, jak ukazuje aplikace NYT ** V Praze vzroste počet horkých dní na čtyřnásobek

Karel Kilián | 21

Modelářský zázrak: Maketa raketoplánu Columbia, která létá jako skutečná raketa

Modelářský zázrak: Maketa raketoplánu Columbia, která létá jako skutečná raketa

** Model raketoplánu Columbia od českého konstruktéra umí i létat ** Obdivuhodný model si vzal 1600 hodin práce ** Podívejte se na fotografie ze stavby a prvního letu

Karel Jeřábek | 20

Google má nové telefony, počítač a domácí displej. Česko je stále mimo

Google má nové telefony, počítač a domácí displej. Česko je stále mimo

** Google dnes představil novinky ** Dočkali jsme se nového telefonu Pixel 3, tabletopočítače a domácího displeje ** Rozšíření Google Assistenta do dalších zemí se bohužel nekoná

David Polesný | 45

Photolemur 3: Prostě do něj přetáhnete fotky a začne se dít magie. Tedy údajně...

Photolemur 3: Prostě do něj přetáhnete fotky a začne se dít magie. Tedy údajně...

** Je lepší nabušený Photoshop, nebo program s jedním tlačítkem? ** Photolemur si myslí to druhé ** Tento fotoeditor neumí skoro nic, a přitom (skoro) všechno

Jakub Čížek | 19


Aktuální číslo časopisu Computer

Jak vytvořit a spravovat vlastní web

Velký test herních klávesnic a DVB-T2 tunerů

Vše o formátu RAW

Vybíráme nejlepší základní desku