Nejedná se o žádnou novou comixovou postavičku, ale o novou vylepšenou variantu červa s názvem BadTrans. Přesto, že obehrává stále tu samou písničku, je až neobyčejně úspěšný a proniká i k nám.
Hodně uživatelů zejména ve Velké Británii, kteří včera ráno pustili počítač čekalo nemilé překvapení. Jejich e-mailové schránky byly zaplaveny poslední verzí červa BadTrans, který se následně od nich začal lavinovitě šířit do celého světa. Dnes by takové překvapení mohlo čekat na vás.
Pokud se podíváte na stránky MessageLabs můžete vidět, že BadTrans.B se po světě velmi slušně šíří. Včera ráno bylo firmou MessageLabs blokováno asi 5 164 kopií červa za dvacet čtyři hodin a schválně se koukněte kolik je to nyní. Badtrans velmi rychle odskočil i od dosud vedoucího SirCamu a v současné době ho o hodně předstihuje.
Červ Badtrans je na světě již od dubna tohoto roku. Varianta BadTrans.B je však nově doplněna o „trik“ umožňující spustit přílohu HTML e-mailu bez vědomí uživatele při pouhém prohlížení zprávy. Tohoto „triku“ může červ dosáhnout využitím bezpečnostní chyby v IE 5.01 a 5.5 a MIME hlavičce e-mailu. Oprava na tuto chybu byla Microsoftem zveřejněna již v březnu, ale jak vidíte červ jí lehce zneužívá i dnes. A není jediný, této chyby se v poslední době snaží využít i jiné obnovené podoby červů, například Aliz a ze starších můžu jmenovat například Nimdu a Klez. Při prohlížení zprávy to vypadá, že pisatel zapomněl vložit text, ale při otevření zprávy se vám na počítači již usidluje červ.
Jméno přiloženého souboru má zdvojenou příponu a je náhodně poskládáno z následujících slov:
Jméno přílohy: |
První přípona: |
Druhá přípona: |
FUN (nebo fun) |
DOC |
pif |
HUMOR (nebo Humor) |
MP3 |
scr |
DOCS (nebo docs) |
ZIP |
|
S3MSONG |
|
|
Sorry_about_yesterday |
|
|
ME_NUDE (nebo Me_nude) |
|
|
CARD (nebo Card) |
|
|
SETUP |
|
|
SEARCHURL |
|
|
stuff |
|
|
YOU_ARE_FAT! (nebo YOU_are_FAT!) |
|
|
HAMSTER |
|
|
NEWS_DOC (nebo news_doc) |
|
|
New_Napster_Site |
|
|
README |
|
|
IMAGES (nebo images) |
|
|
PICS (nebo Pics) |
|
|
Příloha může být tedy pojmenovaná například takto: "Sorry_about_yesterday.DOC.src“, "HUMOR.MP3.pif“ nebo „YOU_ARE_FAT!.DOC.pif“.
Jméno odesílatele „nakaženého“ e-mailu je získáno z infikovaného počítače nebo je náhodně vygenerováno z dalšího seznamu:
" Anna" <aizzo@home.com> |
"JUDY" <JUJUB271@AOL.COM> |
"Rita Tulliani" <powerpuff@videotron.ca> |
"Tina" <tina0828@yahoo.com> |
"Kelly Andersen" <Gravity49@aol.com> |
" Andy" <andy@hweb-media.com> |
"Linda" <lgonzal@hotmail.com> |
"Mon S" <spiderroll@hotmail.com> |
"Joanna" <joanna@mail.utexas.edu> |
"JESSICA BENAVIDES" <jessica@aol.com> |
" Administrator" <administrator@border.net> |
" Admin" <admin@gte.net> |
"Support" <support@cyberramp.net> |
"Monika Prado" <monika@telia.com> |
"Mary L. Adams" <mary@c-com.net> |
" Anna" <lindaizzo@home.com> |
"JUDY" <JUJUB@AOL.COM> |
"Tina" <tina08@yahoo.com> |
Pokud červa spustíte nebo se díky chybě v systému spustí sám, vyhledá všechny e-mailové adresy na postiženém počítači. Červ vyhledává e-mailové adresy nejenom v „adresáři“ z poštovního programu, ale i v dočasných souborech prohlížeče a složce „Moje dokumenty“, kde se snaží najít webové stránky a v nich zapsané e-mailové adresy. Následně na všechny tyto adresy odešle sám sebe jako odpověď na e-mail nalezený v počítači (Re: <hlavička e-mailu nalezená v infikovaném počítači>). Na e-mailové adresy nalezené v dočasných souborech prohlížeče nebo složce „Moje dokumenty“ je poslána odpověď „Re: “ bez dalšího textu. Tělo e-mailu je zpráva v HTML formátu bez viditelného textu využívající zmíněné chyby v IE při rendrování obsahu a příloha je poskládána podle klíče popsaného výše. Na žádnou e-mailovou adresu z postiženého počítače se červ neodešle dvakrát, k tomuto účelu si vytvoří soubor PROTOCOL.DLL. V souboru je seznam e-mailových adres, na které byl již červ poslán a před dalším odesláním je nová e-mailová adresa porovnána s těmi v seznamu. Nakonec se zkopíruje do systémového adresáře Windows pod jménem KERNEL32.EXE a přidá položku do klíče HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce v registrech, čímž si zajistí spuštění s každým startem počítače.
Infikovaná zpráva tedy může klidně přijít od někoho koho dobře znáte jako odpověď na váš e-mail.
Dalším „vylepšením“ oproti původní verzi je i to, že červ navíc do napadeného systému instaluje trojského koně KDLL.DLL (bývá detekován jako Trojan.PSW.Hooker), který umí krást hesla a odesílat je z napadeného počítače ven. Zaznamenané události můžete najít opět v systémovém adresáři Windows pod názvem souboru CP_25389.NLS.
Pokud jste byli červem napadeni a chcete se ho zbavit, navštivte stránky antivirové společnosti Sophos nebo F-Secure, kde najdete popis, jak červa ze systému odstranit.
Pokud se vám do počítače tento červ nedostal buďte rádi. Příště se nemusí začít šířit z Velké Británie, ale třeba od nás a na jakoukoliv opravu nebude čas. Nová verze nemusí odesílat jenom hesla, může převzít kontrolu nad celým počítačem, odeslat důležité dokumenty a tak dále. V článku „FBI má nový nástroj na sledování“ se diskutovalo o tom, jak tento nástroj dostat na počítač.
Jeden příklad tu máme.