Nový emailový červ Gluber B vychází z předchozí varianty Gluber, který se šířil pomocí emailů a síťového sdílení.
Varianta B umožňuje získat útočníkovi plnou kontrolu nad napadeným počítačem. Standardně červ monitoruje port 5373, pomocí kterého komunikuje s případným útočníkem. Během činnosti se pokouší také uzavřít některé komunikační a bezpečnostní nástroje (antiviry apod).
Délka přílohy je 19 526 bajtů. Postižené operační systémy jsou Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP.
V zasílaných emailech se jméno přílohy, odesílatele a předmětu emailu vybírá z připravených variant.
Předmět emailu:
- nice job!
- oh wow
- Too easy
- Spend Money
- Update
- Your resume
- you are!
- great!
- Re:
- plz!
- Need help!
- Buy 1 Free 2
- Hello
- Warning!
- News!
- Business
- Hack me!
- Report!
- Free porn!
- Bad news!
- Hi!
Políčko identifikující odesilatele je naplněno následujícími vygenerovanými hodnotami:
- Microsoft <support@microsoft.com>
- Terrorist George W. Bush <president@whitehouse.gov>
- Terrorist Ariel Sharon <pm_eng@pmo.gov.il>
- careless <ch@care.net>
- media <washtimes.com>
- Rumsfeld <rumsfeld@pentagon.net>
- Maybank <security@maybank2u.com>
- condemn <fool@first.gov>
- BinLaden <osama@fbi.gov>
- BushScare <president@white.gov>
Text zprávy je vybrán z následujících:
- A message you have received has been converte to an attachment. I sorry cause that problem. <webmaster@winzip.com>
- Hello friend,I have a problem here. I have encrypt the file that contain my message problem. The password is `helpx`. Plz reply back!
- Oh my god! It`s that you! Helo! Helo! So, this is gift for christmas day! Orlian Jieg
- For the truth of love! I have suprise to you! Please baby forgive me! onn Elika
- Hey! It`s that what you want! I hope so! Check the file first then reply back if you have problem!
- By Aex Pravoks
Jméno přílohy:
- Problem
- Help
- Multi
- Computers
- Magazine
- Image
- Pictures
- Fees
- Request
- Brand
- Collection
- Credit
- Card
- Text
- Music
- Video
- News
- Dokument
- Logfile
- Quiz
- Readme
- Setup
Přílohy mohou být následujících typů: exe, .com, .pif, nebo .bat.
Po případném spuštění zavirované přílohy se červ nakopíruje do složky System operačního systému pod jménem Djfgucxr.exe.
Pomocí modifikace souboru system.ini a systémového registru si červ zajistí automatické spouštění i po restartu počítače.
Na lokálních discích prohledává soubory, ve kterých hledá emailové adresy, na které se následně šíří. Pokud je za běhu červa nalezeno nějaké heslem nezabezpečené sdílení na lokální síti, je do dané sdílené složky nakopírováno tělo červa s náhodně vygenerovaným jménem souboru.
Nezapomeňte ani dnes na pravidelnou aktualizaci svého antivirového programu.
