Píše vám support@microsoft.com? Bude to virus

Nový virus s označením Palyh nebo Mankx se začal kupodivu šířit i u nás. Naštěstí vlastním přičiněním přestane koncem května škodit.
Nové viry přibývají pomalu každým dnem, o spoustě z nich ale nemá smysl psát, jelikož se nijak významně nerozšíří. Nový Mankx, který se začal šířit ve světě o víkendu a v pondělí již v řadě exemplářů navštívil mou e-mailovou schránku je aktivnější. Sice ještě na vytrvalou Gandu nemá, ale těch pár dní, co mu bylo dáno, ještě bude chtít využít.

Popravdě nejde o žádnou sofistikovanou záležitost využívající díru v nějakém programu. Jde o staré dobré sociální inženýrství, prostě něco, co vypadá důvěryhodně.

Virus se tedy šíří v e-mailu, který jakoby pochází od support@microsoft.com a zpráva se jmenuje poměrně nelákavě (například Re: Your application), V těle zprávy není nic mimo textu "All information is in the attached file.", je tam jen příloha. Příloha má příponu PIF, což je pochopitelně přípona přímo spustitelných programů, jen se v současnosti už moc nepoužívá a tak ji nemusí lidé pokládat za nebezpečnou. PIF je původně něco jako soubor pro spouštění aplikace ve Windows, obsahuje konfiguraci a parametry nutné pro spuštění. Dnes se ale už nepoužívá. Ačkoli nakažený e-mail obsahuje soubor s příponou PIF, jedná se o normální soubor EXE. Windows pracuje se soubory dle jejich obsahu, takže ten soubor normálně spustí, i když nejde opravdu o PIF.

E-mail obsahuje jeden z následujících předmětů zprávy:

Your details
Approved (Ref: 38446-263)
Re: Approved (Ref: 3394-65467)
Your password
Re: My details
Screensaver
Cool screensaver
Re: Movie
Re: My application

Příloha je jeden z následujících souborů:

your_details.pif
ref-394755.pif
approved.pif
password.pif
doc_details.pif
screen_temp.pif
screen_doc.pif
movie28.pif
application.pif

Každopádně je ale vcelku jedno, s jakou konkrétní přílohou či předmětem zprávy e-mail dorazí, již běžná opatrnost by vám neměla dovolit přílohu spustit.

Po spuštění se vir uloží do složky Windows pod jménem msccn32.exe a v registrech nastaví své spouštění při startu systému. Mimo to se ještě pokusí stáhnout ze čtyř stránek na Geocities data a uložit je na disk do souborů hnks.ini a msdbrr.ini.

Červ se pokouší nakopírovat přes síťová sdílení na jiné počítače do složek Windows\All Users\Start Menu\Programs\StartUp a Documents and Settings\All Users\Start Menu\Programs\Startup, což je naštěstí u českých Windows vcelku bez efektu, tam se složky pro spouštění při startu jmenují jinak.

Pak se vir pokusí získat ze souborů TXT, EML, HTML, HTM, DBX, WAB e-mailové adresy a rozeslat se na ně.

Autor viru (podle antivirových firem zřejmě pocházející z Holandska) udělal poměrně fatální chybu spolehnutím se na aktualizaci vira přes servery Geocities. V podobných případech jsou internetové adresy využívané viry téměř okamžitě znefunkčněny.

Jak totiž uvádí Kaspersky Labs, autor nastavil v kódu vira, aby se všechny rutiny zastavily 31. května s výjimkou té zajišťující aktualizaci. Protože servery s aktualizací ale budou tou dobou jistě vypnuté, vir se prostě zastaví. Kdo se tedy nakazí a nebude nic dělat, bude mít za pár dní na počítači jen jednu neškodnou mrtvolku navíc.

Diskuze (17) Další článek: Švindluje Nvidia ve výkonnostních testech?

Témata článku: Microsoft, Windows, Startup, Nebezpečná příloha, Následující den, Cool, Opatrnost, Píš


Určitě si přečtěte

Sex a rozmnožování při mezihvězdné cestě: Kolik lidí je potřeba pro let k Proximě Centauri?

Sex a rozmnožování při mezihvězdné cestě: Kolik lidí je potřeba pro let k Proximě Centauri?

** Vědci spočítali, jak velká by musela být posádka pro vícegenerační let k nejbližší hvězdné soustavě ** Proxima Centauri se nachází 4,3 světelných let od nás ** Za současných technologií bychom k ní letěli 6300 let

Petr Kubala | 53

Rekordy počasí: V Česku to ještě jde, skutečné extrémy zažívají jinde

Rekordy počasí: V Česku to ještě jde, skutečné extrémy zažívají jinde

** Teplotní extrémy dokážou překvapit. Seznamte se s rekordy v Česku i ve světě ** Rekordní hodnoty jsou mnohdy až k neuvěření ** Zjistěte, kdy ke bylo největší horko, zima, déšť či vítr

Karel Kilián | 7

Apple: naše mapy budou nejlepší na světě. Tajně jsme na nich pracovali několik let

Apple: naše mapy budou nejlepší na světě. Tajně jsme na nich pracovali několik let

** Apple odhalil své plány na zcela nové mapy ** Několik let pracuje na nových mapách, které by měly předběhnout konkurenci ** Objeví se s příchodem iOS 12 pro vybrané státy

Karel Javůrek | 50


Aktuální číslo časopisu Computer

Velký test 18 bezdrátových sluchátek

Vše o přechodu na DVB-T2

Procesory AMD opět porážejí Intel

7 NVMe M.2 SSD v přímém souboji