Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


NoDoom teprve přijde, ale Bagle.B už je tady a má se k světu

  8:25aktualizováno  8:25
NoDoom je hrozba, která se teprve postupně rozvíjí, ale nové a naprosto reálné nebezpečí již je na světě. Červ Bagle či chcete-li Beagle, který letošní pozdvižení kolem počítačových virů rozpoutal, dostal bratříčka.

NoDoom je hrozba, která se teprve postupně rozvíjí, ale nové a naprosto reálné nebezpečí již je na světě. Červ Bagle či chcete-li Beagle, který letošní pozdvižení kolem počítačových virů rozpoutal, dostal bratříčka.

Raketový start

Bagle.B přišel patrně z Polska, kde byl poprvé zaznamenán v úterý odpoledne. Červ, šířící se elektronickou poštou, zasáhl zejména evropské uživatele, jeho aktivity za oceánem čítají zatím necelých 20 % z jeho celkového rozšíření. Za půl dne již MessageLabs hlásí přes 80 tisíc výskytů a bude mnohem hůř: Bagle.B je obsažen v každé šestnácté e-mailové zprávě a tento podíl se má ještě zvyšovat. Momentálně je po dožívajícím NoDoomu druhým nejaktivnějším virem.

Antivirové společnosti zareagovaly velmi rychle a samostatné utility pro odstranění nákazy nabízejí například Symantec, McAfee či F-Secure nebo Avast!. K dispozici jsou samozřejmě aktualizované antivirové definice. Právě od finské F-Secure si Bagle.B vysloužil Alert Level 1, tedy nejvyšší stupeň nebezpečí. To by mělo pominout 25. února, červ oslaví vítězství pracujícího lidu deaktivací sebe sama.

Statistika Bagle.b ze středečního rána (c) MessageLabs

Jak ho poznáte?

Struktura Bagle.B je tak nápadná a do očí bijící, že je opravdu s podivem, kolik naivních uživatelů je stále schopno takový mail nejen okamžitě nesmazat, ale ještě spustit jeho přílohu.

Předmět zprávy zní:
ID (náhodné znaky) ...thanks.
V těle je uvedeno:
Yours ID (změť znaků)
- -
Thank

Název přílohy opět tvoří náhodný řetězec a přípona EXE.

Bagle.B se po otevření přílohy nakopíruje do systémového adresáře jako au.exe a do registrů přidá klíč, který zajistí jeho spuštění při každém restartu Windows. Do registru HKEY_CURRENT_USER\SOFTWARE\Windows2000 přidává ještě další dvě hodnoty: "frn" = "0x00000001" nebo "frn" = "0x00000000" a "gid" = "".

Bagle otevírá na portu 8866 zadní vrátka, jimiž mohou být do počítače nahrány a spuštěny třetí programy. Dále posílá každých 10 000 sekund žádost HTTP GET přes TCP na tyto webové adresy:
www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php


Příkaz GET obsahuje číslo portu, na němž infikovaný počítač "naslouchá", jeho IP adresu a identifikační číslo s klíče "gid".

Červ se šíří pomocí vlastní SMTP rutiny pro odchozí poštu. Adresy odesílatelů samozřejmě falšuje, stejně jako adresáty je vykrádá ze souborů .wab, .txt, .htm a .html. Nikdy se však neodesílá na adresy, které obsahují výrazy @hotmail.com, @msn.com, @microsoft, @avp.





Hlavní zprávy

Další z rubriky

Nová aplikace propojí největší sociální síť s bleším trhem
Kladivo na Aukro? On-line „blešák“ Facebook Marketplace míří do Česka

Aplikace pro prodej a nákup mezi jednotlivci, Facebook Marketplace, bude do konce srpna dostupná i českým uživatelům. Zda dokáže přetáhnout uživatele portálu...  celý článek

Sídlo společnosti Google v Mountain View v Kalifornii (ilustrační snímek)
Google propustil programátora kvůli traktátu proti podpoře žen v IT

Programátor James Damore kritizoval ve svém dokumentu politickou korektnost a „levicové zkreslení“ společnosti Google. Vystoupil především proti tomu, aby se...  celý článek

ZmapujTo.cz
Tipy na weby: Ukliďte Česko. Hlaste podněty přímo z ulice či lesa

Práskat se nemá, ale hlásit se to musí. Poukažte na problémy ve vašem okolí přímo z terénu a nechte je řešit díky projektu ZmapujTo.cz. Smazat sami sebe z...  celý článek

Jsem těhotná a partner mi zahnul. Přesto zůstávám
Jsem těhotná a partner mi zahnul. Přesto zůstávám

Jak se jiné ženy postavily k nevěře a co jim pomohlo.

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.