Nebezpečný vir Trojan.Peacomm zvyšuje svou aktivitu

Vlastimil Waic 23. ledna 2007

Další
článek Pentium 4 na frekvenci 8 GHz? Proč ne! SDÍLET NA FACEBOOKU TWEETNOUT

„Fidel Castro zemřel“, „Čínská raketa sestřelila ruský satelit“. Dostali jste včera nebo dnes takovou zprávu?

Podobné senzační zprávy rozesílá vir z kategorie trojských koní Trojan.Peacomm. Společnost Symantec, poskytovatel bezpečnostních řešení pro podnikové informační systémy i domácí uživatele, včera v podvečer zaznamenala zvyšující se aktivitu tohoto viru a zvýšila hodnocení nebezpečnosti na stupeň tři, poprvé v tomto roce. Na svých internetových stránkách zveřejnila doporučení pro zamezení šíření nákazy.

Vir se šíří pomocí elektronické pošty. Poznáte ho snadno, do předmětu zprávy vkládá náhodně „senzační“ texty, které by měly vést příjemce k rychlému otevření přílohy. Příklady textu:

230 dead as storm batters Europe.
Re: Your text
Radical Muslim drinking enemies`s blood.
Chinese missile shot down Russian satellite
Chinese missile shot down Russian aircraft
Chinese missile shot down USA aircraft
Chinese missile shot down USA satellite
Russian missile shot down USA aircraft
Russian missile shot down USA satellite
Russian missile shot down Chinese aircraft
Russian missile shot down Chinese satellite
Saddam Hussein safe and sound!
Saddam Hussein alive!
Fidel Castro dead.

Ke každé takovéto zprávě je přiložený .EXE soubor, který na napadený počítač nainstaluje ovladač (%System%\wincom32.sys). Tento ovladač pak začne stahovat další škodlivý kód.

Symantec, monitorující podezřelou aktivitu v internetu, současně informuje o zvýšeném provozu na UDP portu 7871, který je s touto hrozbou spojený.

Doporučení pro zamezeni šíření nákazy:

Omezit přístup k UDP portům, které nákaza používá pro své šíření. Jedná se o porty UDP 7871 a UDP 4000. Blokující pravidla by se měla objevit nejen na hraničních firewallech, ale především v osobních firewallech klientských PC.
Zajistit, aby všechny aplikace i operační systémy obsahovaly všechny kritické záplaty (patche) doporučované výrobci.
Na poštovních serverech by mělo _bez výjimek_ docházet k blokaci příloh se spustitelnými soubory: .EXE, .VBS, .BAT, .PIF, .SCR, .COM.
Maximálně omezit počet běžících služeb na nezbytné a skutečně používané. Tím se opět sníží možnost nákazy prostřednictvím chybějící bezpečnostní záplaty.
Používat silná hesla pro ochranu uložených dat. V případě úspěšného napadení a odeslaní informací k útočníkovi se snižuje možná škoda ze zneužití dat.
Vysvětlit koncovým uživatelům možné důsledky virové nákazy a poučit je o zásadách „správného chovaní“ k webovým službám a elektronické poště. Otevírat pouze přílohy ve zprávách, které očekávají, navštěvovat ověřené, bezpečné webové stránky.

Další zdroje:

Originální verze původních oznámení (v angličtině)
Přesný popis viru, technické podrobnosti a pokyny k odstranění v případě nákazy

Zdroj: Tisková zpráva

Diskuze (50) › Další článek: Pentium 4 na frekvenci 8 GHz? Proč ne!

Témata článku: Nebe, Hra fire, Originální verze, Ruský satelit, Akt, Trója, Šíření nákazy, Zneužití dat, Storm, PEA, Nebezpečný vir, Úspěšné napadení, Muslim, Původní oznámení, Safe, Šíření, Alive, Aircraft, Čínská raketa, Technická podrobnost, Trojan, Přesný popis