Zlý červ Badtrans opět řádí

Nejedná se o žádnou novou comixovou postavičku, ale o novou vylepšenou variantu červa s názvem BadTrans. Přesto, že obehrává stále tu samou písničku, je až neobyčejně úspěšný a proniká i k nám.
Zlý červ Badtrans opět řádí
Hodně uživatelů zejména ve Velké Británii, kteří včera ráno pustili počítač čekalo nemilé překvapení. Jejich e-mailové schránky byly zaplaveny poslední verzí červa BadTrans, který se následně od nich začal lavinovitě šířit do celého světa. Dnes by takové překvapení mohlo čekat na vás.

Pokud se podíváte na stránky MessageLabs můžete vidět, že BadTrans.B se po světě velmi slušně šíří. Včera ráno bylo firmou MessageLabs blokováno asi 5 164 kopií červa za dvacet čtyři hodin a schválně se koukněte kolik je to nyní. Badtrans velmi rychle odskočil i od dosud vedoucího SirCamu a v současné době ho o hodně předstihuje.

Červ Badtrans je na světě již od dubna tohoto roku. Varianta BadTrans.B je však nově doplněna o „trik“ umožňující spustit přílohu HTML e-mailu bez vědomí uživatele při pouhém prohlížení zprávy. Tohoto „triku“ může červ dosáhnout využitím bezpečnostní chyby v IE 5.01 a 5.5 a MIME hlavičce e-mailu. Oprava na tuto chybu byla Microsoftem zveřejněna již v březnu, ale jak vidíte červ jí lehce zneužívá i dnes. A není jediný, této chyby se v poslední době snaží využít i jiné obnovené podoby červů, například Aliz a ze starších můžu jmenovat například Nimdu a Klez. Při prohlížení zprávy to vypadá, že pisatel zapomněl vložit text, ale při otevření zprávy se vám na počítači již usidluje červ.

Jméno přiloženého souboru má zdvojenou příponu a je náhodně poskládáno z následujících slov:

Jméno přílohy: První přípona: Druhá přípona:
FUN (nebo fun) DOC pif
HUMOR (nebo Humor) MP3 scr
DOCS (nebo docs) ZIP
S3MSONG
Sorry_about_yesterday
ME_NUDE (nebo Me_nude)
CARD (nebo Card)
SETUP
SEARCHURL
stuff
YOU_ARE_FAT! (nebo YOU_are_FAT!)
HAMSTER
NEWS_DOC (nebo news_doc)
New_Napster_Site
README
IMAGES (nebo images)

PICS (nebo Pics)

Příloha může být tedy pojmenovaná například takto: "Sorry_about_yesterday.DOC.src“, "HUMOR.MP3.pif“ nebo „YOU_ARE_FAT!.DOC.pif“.

Jméno odesílatele „nakaženého“ e-mailu je získáno z infikovaného počítače nebo je náhodně vygenerováno z dalšího seznamu:

" Anna" <aizzo@home.com>
"JUDY" <JUJUB271@AOL.COM>
"Rita Tulliani" <powerpuff@videotron.ca>
"Tina" <tina0828@yahoo.com>
"Kelly Andersen" <Gravity49@aol.com>
" Andy" <andy@hweb-media.com>
"Linda" <lgonzal@hotmail.com>
"Mon S" <spiderroll@hotmail.com>
"Joanna" <joanna@mail.utexas.edu>
"JESSICA BENAVIDES" <jessica@aol.com>
" Administrator" <administrator@border.net>
" Admin" <admin@gte.net>
"Support" <support@cyberramp.net>
"Monika Prado" <monika@telia.com>
"Mary L. Adams" <mary@c-com.net>
" Anna" <lindaizzo@home.com>
"JUDY" <JUJUB@AOL.COM>
"Tina" <tina08@yahoo.com>

Pokud červa spustíte nebo se díky chybě v systému spustí sám, vyhledá všechny e-mailové adresy na postiženém počítači. Červ vyhledává e-mailové adresy nejenom v „adresáři“ z poštovního programu, ale i v dočasných souborech prohlížeče a složce „Moje dokumenty“, kde se snaží najít webové stránky a v nich zapsané e-mailové adresy. Následně na všechny tyto adresy odešle sám sebe jako odpověď na e-mail nalezený v počítači (Re: <hlavička e-mailu nalezená v infikovaném počítači>). Na e-mailové adresy nalezené v dočasných souborech prohlížeče nebo složce „Moje dokumenty“ je poslána odpověď „Re: “ bez dalšího textu. Tělo e-mailu je zpráva v HTML formátu bez viditelného textu využívající zmíněné chyby v IE při rendrování obsahu a příloha je poskládána podle klíče popsaného výše. Na žádnou e-mailovou adresu z postiženého počítače se červ neodešle dvakrát, k tomuto účelu si vytvoří soubor PROTOCOL.DLL. V souboru je seznam e-mailových adres, na které byl již červ poslán a před dalším odesláním je nová e-mailová adresa porovnána s těmi v seznamu. Nakonec se zkopíruje do systémového adresáře Windows pod jménem KERNEL32.EXE a přidá položku do klíče HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce v registrech, čímž si zajistí spuštění s každým startem počítače.

Infikovaná zpráva tedy může klidně přijít od někoho koho dobře znáte jako odpověď na váš e-mail.

Dalším „vylepšením“ oproti původní verzi je i to, že červ navíc do napadeného systému instaluje trojského koně KDLL.DLL (bývá detekován jako Trojan.PSW.Hooker), který umí krást hesla a odesílat je z napadeného počítače ven. Zaznamenané události můžete najít opět v systémovém adresáři Windows pod názvem souboru CP_25389.NLS.

Pokud jste byli červem napadeni a chcete se ho zbavit, navštivte stránky antivirové společnosti Sophos nebo F-Secure, kde najdete popis, jak červa ze systému odstranit.

Pokud se vám do počítače tento červ nedostal buďte rádi. Příště se nemusí začít šířit z Velké Británie, ale třeba od nás a na jakoukoliv opravu nebude čas. Nová verze nemusí odesílat jenom hesla, může převzít kontrolu nad celým počítačem, odeslat důležité dokumenty a tak dále. V článku „FBI má nový nástroj na sledování“ se diskutovalo o tom, jak tento nástroj dostat na počítač.

Jeden příklad tu máme.

Diskuze (112) Další článek: Nová varianta červa BadTrans se rychle šíří

Témata článku: Windows, Jessica, E-mailová adresa, Pics, Červ, Systémová schránka, Admin, Images, Řád, Kelly, Linda, Pouhé prohlížení, Nalezený soubor, Stuff, Anna, Tina, Anno, Adams


Určitě si přečtěte

WindowsFX: Nainstalujte to mamce a taťkovi. Ani nepoznají, že to je Linux

WindowsFX: Nainstalujte to mamce a taťkovi. Ani nepoznají, že to je Linux

** Po dvou měsících tu máme další linuxovou kopii ** Tentokrát jde o imitaci Desítek ** Sestavili ji brazilští geekové nad Ubuntu

Jakub Čížek | 135

Windy je laboratoř na počasí: 12 tipů, jak se ve službě vyznat a využít ji naplno

Windy je laboratoř na počasí: 12 tipů, jak se ve službě vyznat a využít ji naplno

** Předpověď počasí Windy nabízí nepřebernou škálu funkcí ** Zorientovat se v nich nemusí být vždy snadné ** Proto přinášíme 12 užitečných tipů a triků

Karel Kilián | 10

Deset kotev, které i v roce 2020 táhnou Android ke dnu

Deset kotev, které i v roce 2020 táhnou Android ke dnu

** Android existuje skoro 12 let a za tu dobu v mnoha směrech dospěl ** Dnes běží na sedmi z deseti telefonů, ale čemu za to vděčí? ** Našli jsme 10 kotev, které táhnou tento operační systém ke dnu

Karel Kilián | 169

Podívejte se na Windows z roku 1990. Před 30 lety přišly Windows 3.0 a líbily se nám

Podívejte se na Windows z roku 1990. Před 30 lety přišly Windows 3.0 a líbily se nám

** 22. května 1990 uvedl Microsoft Windows 3.0 ** Systém z Microsoftu definitivně udělal lídra na desktopu ** Tehdejší Windows byly vlastně grafickou nadstavbou nad MS-DOS

Jakub Čížek | 75

Apple vychrlil novinky: Nové operační systémy a příprava na vlastní procesory

Apple vychrlil novinky: Nové operační systémy a příprava na vlastní procesory

** Apple dnes představuje novinky ** Tradiční keynote v rámci konference WWDC probíhá jen online ** Nové operační systémy, ale i něco navíc

David Polesný | 109


Aktuální číslo časopisu Computer

Megatest: nejlepší notebooky do 20 000 Kč

Test 8 levných IP kamer

Jak vybrat bezdrátová sluchátka

Testujeme Android 11