Netsky.Q - další pípající příspěvek do virové laviny

Ke konci včerejšího a během dnešního dne se začali internetem šířit další počítačoví červi. Nejvíce nebezpečný je podle antivirových firem Netsky.Q, ten jako jeho předchůdce v určený čas spustí na napadeném počítači pípání.
To, že se každý den objeví minimálně jeden nový vir, již není delší dobu příliš zajímavá informace. Problémem však je, že tyto novinky jsou, co se šíření týká, mnohem více nebezpečné, než tomu bylo v minulosti. Vezměme se jen příklad uplynulého víkendu. Od pátku 26.března byly objeveny tři nové viry, které si vysloužily větší pozornost antivirových společností.

Z tohoto hlediska je nejhůře hodnoceným případem Netsky.Q. Ten je sice jen další variantou svých předchůdců, ale přesto se dokáže poměrně rychle šířit. Pomáhají mu k tomu i nezáplatované systémy, neboť vir využívá známou a již v roce 2001 opravenou chybu v prohlížeči Internet Explorer. Takže k zavirování na nezabezpečených počítačích stačí, aby byla samotná zpráva otevřena.

Jak se u většiny nových virů patří, i tento červ falšuje adresu odesílatele. První identifikaci tak může uživatel provést podle předmětu zprávy. Ten může obsahovat některou z následujících variant:

Deliver Mail (e-mailová adresa příjemce)
Delivered Message (e-mailová adresa příjemce)
Delivery (e-mailová adresa příjemce)
Delivery Bot (e-mailová adresa příjemce)
Delivery Error (e-mailová adresa příjemce)
Delivery Failed (e-mailová adresa příjemce)
Delivery Failure (e-mailová adresa příjemce)
Error (e-mailová adresa příjemce)
Failed (e-mailová adresa příjemce)
Failure (e-mailová adresa příjemce)
Mail Delivery failure (e-mailová adresa příjemce)
Mail Delivery System (e-mailová adresa příjemce)
Mail System (e-mailová adresa příjemce)
Server Error (e-mailová adresa příjemce)
Status (e-mailová adresa příjemce)
Unknown Exception (e-mailová adresa příjemce)

Takže e-mail s virem Netsky.Q může mít v našem případě například tento předmět: Failed (technet@technet.cz).

V případě otevření takového e-mailu (bezpečnější je jej rovnou smazat) si v těle zprávy pak uživatel může přečíst některý z těchto textů:


Delivery Agent - Translation failed
Delivery Failure - Invalid mail specification
Mail Delivery - This mail couldn't be displayed
Mail Delivery Error - This mail contains unicode characters
Mail Delivery Failed - This mail couldn't be represented
Mail Delivery Failure - This mail couldn't be shown.
Mail Delivery System - This mail contains binary characters
Mail Transaction Failed - This mail couldn't be converted

Po jednořádkové mezeře následuje tato kombinace znaků a textu:


------------- failed message -------------

Na ni přímo navazuje až několikařádková změť náhodně vytvořených znaků. Informace v těle zprávy je zakončena jedním z těchto textů:


Note: Received message has been sent as a binary file.
Modified message has been sent as a binary attachment.
Received message has been sent as an encoded attachment.
Translated message has been attached.
Message has been sent as a binary attachment.
Received message has been attached.
Partial message is available and has been sent as a binary attachment.
The message has been sent as a binary attachment.

V některých případech lze v těle zprávy narazit i na tento text:

Or you can view the message at:
www.[doména uživatelova e-mailu]/inmail/[jméno z uživatelova e-mailu]/mread.php?sessionid-[náhodná čílsa]

Takový text pak může vypadat i následovně:

Or you can view the message at:
www.technet.cz/inmail/technet/mread.php?sessionid-165131011161

E-mail s virem Netsky.Q 

Samotná příloha s virem čerpá název z těchto čtyř možností:


data
mail
msg
message

Za těmito názvy následuje sled náhodných čísel a přípona .exe,.pif nebo .zip. V určitých případech, když je vir zazipovaný, pak za jedním ze čtyř již zmíněných názvů následuje falešná přípona .eml, stokrát mezera (aby se skryla skutečná koncovka) a pravá přípona .scr.

V případě úspěšného napadení systému začne v 5:11 hodin 30.března 2004 počítač pípat. Toto pípání způsobuje vir. Od 8. do 11. dubna tohoto roku navíc budou všechny počítače zavirované Netsky.Q útočit na adresy www.edonkey2000.com, www.kazaa.com, www.emule-project.net, www.cracks.am a www.cracks.st.

Pokud tedy na základě předchozích indicií získáte podezření, že vám přišel tento vir, bez váhání jej smažte. Není snad třeba připomínat, že je dobré mít neustále aktuální virovou databázi vašeho antivirového programu a záplatovaný systém.

Jak se bránit? Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.


Témata: napadení, software, Virus