Dumaru Y a Z – virus, který vás špehuje

Některé viry proletí schránkami nedostatečně chráněných uživatelů, částečně zahltí internetovou síť a možná odnesou pár e-mailových adres do spammerských databází. Jiné jsou však mnohem zákeřnější. Mezi ně patří i viry Dumaru.
Zdá se, že tvůrci virů ukončili svou zimní dovolenou a s plnou vervou se pustili do vytváření dalších variant těchto více či méně nebezpečných prográmků. Nové víkendové přírůstky poměrně čile se šířících virů jsou toho jen důkazem. Novinky pocházejí z rodiny Dumaru a jsou označovány jako Y a Z.

Zavirovaný e-mail, který obsahuje jednu z těchto variant viru, má v hlavičce odesílatele následující text :

"Elene" <F**KENSUICIDE@HOTMAIL.COM> (censored)

a jako předmět zprávy je v obou případech text:

Important information for you. Read it immediately ! J

Už tyto indicie by měly stačit k tomu, abyste příchozí e-mail smazali.

Při otevření této zavirované zprávy si může uživatel přečíst následující poselství:

Hi ! Here is my photo, that you asked for yesterday.

Součástí tohoto e-mailu je i příloha myphoto.zip, která má velikost 17 kB. V případě rozbalení tohoto kompilátu uvidí uživatel soubor myphoto.jpg. To je však jen zástěrka pro spustitelný soubor myphoto.jpg.exe. Mezi .jpg a .exe je totiž téměř šedesátiznaková mezera.

Jak Dumaru pracuje?

V případě, že je kód viru spuštěn, začne prohledávat soubory s těmito příponami: ABD, DBX, HTM, HTML, TBB a WAB.

Z nich získává e-mailové adresy, které si ukládá do souboru Winload.log v adresáři Windir. Na tyto adresy se pak rozesílá.

Zároveň se tělo červa nakopíruje do adresáře Systems, kde se uhnízdí pod názvy l32x.exe, vxd32v.exe, dllxw.exe. U systémů Win95 - WinMe, je umístění adresáře následující: C:\Windows\System. Operační systém Windows NT a 2000, pak tuto složku ukrývá na tomto místě: C:\Winnt\System32 a nakonec Windows XP s umístěním v adresáře zde: C:\Winnt\System32.

Aby se mohl červ spustit po každém restartování počítače, tak uloží odkaz na l32x.exe do systémového registru HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run. V OS Windows 95/98/Me ještě upraví soubor system.ini, případně vytvoří klíč registru HKEY_LOCAL_MACHINE\SOFTWARE\SARS.

Vedle toho má některé další funkce, které může využít. Jednou z nich je testování připojení k internetu, pokud počítač není v případě potřeby viru připojen. To probíhá dvakrát za sekundu. Může také fungovat jako trojský kůň, když připravuje přístup k počítači útočníkovi, který využije TCP portů 1000 a 2283, které mu Dumar otevře. K tomu ale nejdříve potřebuje přístup na následující adresy http://youand<BLOCKED>edlove.com/load.exe a http://gold<BLOCKED> ting.com@%79o%75%61n%64menee%64%6co%76e.com/load.php, odkud si stáhne komponentu BKDR_IROFFER12.B.

Tento vir také zvládne pracovat jako špión, neboť ukládá data, která získá ze schránky, ale především monitoruje stisky kláves, takže má poměrně vysokou šanci, že odchytí vámi zadávané heslo. Takto nahrané stisky kláves ukládá do souboru vxdload.log a obsah schránky do rundllx.sys. Speciálně se přitom zaměřuje na webové formuláře na adrese www.e-gold.com.V případě, že velikost souborů překročí určitou hranici, pokusí se je odeslat na předem určené adresy.

Zákeřný vir

Jak je patrno z předchozích řádků, je vir, pokud se dostane do počítače, opravdu nebezpečný. Nejenže umožní přístup na napadený počítač útočníkovi, navíc monitoruje obsah schránky a ukládá jednotlivé stisky kláves, které uživatel používá při práci s počítačem. Může tak získat i mnohá hesla. O tom, že ani způsob šíření viru není radno podceňovat, svědčí aktuální virová statistika deseti nejrozšířenějších virů na serveru Messagelabs.com, kde si Dumar vede více než dobře. V každém případě si aktualizujte svůj antivirový program, pokud jste tak ještě neučinili.

  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 47 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 22 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Velký železniční KVÍZ: Máte-li dost páry, zkuste vytřít zrak Sheldonovi

v diskusi je 5 příspěvků

23. března 2024

Projeďte se aktivně historií železniční dopravy, ve světě i doma. Čekají na vás otázky rozmanité, z...

Za vyhynutím dinosaurům mohla být i doba temna

v diskusi nejsou příspěvky

29. března 2024

Dopad planetky je nyní většinou odborníků považován za hlavní příčinu vyhynutí zhruba 73 až 76 %...

Podívejte se na Boeing C-17 Globemaster, který do Česka přivezl nové vrtulníky

v diskusi jsou 3 příspěvky

29. března 2024

V sobotu 23. března dosedl v Praze nákladní letoun USAF, který vezl obzvlášť cenný náklad. Z...

Dočasná raketa se po téměř 70 letech loučí. Bude startovat naposledy

v diskusi je 5 příspěvků

28. března 2024  15:36,  aktualizováno  19:54

Tento čtvrtek stojí na startovací rampě mysu Canaveral poslední potomek raket Thor, nosič Delta IV...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 22 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Velikonoce 2024: Na Velký pátek bude otevřeno, v pondělí obchody zavřou

Otevírací doba v obchodech se řídí zákonem, který nařizuje, že obchody s plochou nad 200 čtverečních metrů musí mít...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...