Premium

Získejte všechny články
jen za 89 Kč/měsíc

NoDoom teprve přijde, ale Bagle.B už je tady a má se k světu

  8:25
NoDoom je hrozba, která se teprve postupně rozvíjí, ale nové a naprosto reálné nebezpečí již je na světě. Červ Bagle či chcete-li Beagle, který letošní pozdvižení kolem počítačových virů rozpoutal, dostal bratříčka.

NoDoom je hrozba, která se teprve postupně rozvíjí, ale nové a naprosto reálné nebezpečí již je na světě. Červ Bagle či chcete-li Beagle, který letošní pozdvižení kolem počítačových virů rozpoutal, dostal bratříčka.

Raketový start

Bagle.B přišel patrně z Polska, kde byl poprvé zaznamenán v úterý odpoledne. Červ, šířící se elektronickou poštou, zasáhl zejména evropské uživatele, jeho aktivity za oceánem čítají zatím necelých 20 % z jeho celkového rozšíření. Za půl dne již MessageLabs hlásí přes 80 tisíc výskytů a bude mnohem hůř: Bagle.B je obsažen v každé šestnácté e-mailové zprávě a tento podíl se má ještě zvyšovat. Momentálně je po dožívajícím NoDoomu druhým nejaktivnějším virem.

Antivirové společnosti zareagovaly velmi rychle a samostatné utility pro odstranění nákazy nabízejí například Symantec, McAfee či F-Secure nebo Avast!. K dispozici jsou samozřejmě aktualizované antivirové definice. Právě od finské F-Secure si Bagle.B vysloužil Alert Level 1, tedy nejvyšší stupeň nebezpečí. To by mělo pominout 25. února, červ oslaví vítězství pracujícího lidu deaktivací sebe sama.

Statistika Bagle.b ze středečního rána (c) MessageLabs

Jak ho poznáte?

Struktura Bagle.B je tak nápadná a do očí bijící, že je opravdu s podivem, kolik naivních uživatelů je stále schopno takový mail nejen okamžitě nesmazat, ale ještě spustit jeho přílohu.

Předmět zprávy zní:
ID (náhodné znaky) ...thanks.
V těle je uvedeno:
Yours ID (změť znaků)
- -
Thank

Název přílohy opět tvoří náhodný řetězec a přípona EXE.

Bagle.B se po otevření přílohy nakopíruje do systémového adresáře jako au.exe a do registrů přidá klíč, který zajistí jeho spuštění při každém restartu Windows. Do registru HKEY_CURRENT_USER\SOFTWARE\Windows2000 přidává ještě další dvě hodnoty: "frn" = "0x00000001" nebo "frn" = "0x00000000" a "gid" = "".

Bagle otevírá na portu 8866 zadní vrátka, jimiž mohou být do počítače nahrány a spuštěny třetí programy. Dále posílá každých 10 000 sekund žádost HTTP GET přes TCP na tyto webové adresy:
www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php


Příkaz GET obsahuje číslo portu, na němž infikovaný počítač "naslouchá", jeho IP adresu a identifikační číslo s klíče "gid".

Červ se šíří pomocí vlastní SMTP rutiny pro odchozí poštu. Adresy odesílatelů samozřejmě falšuje, stejně jako adresáty je vykrádá ze souborů .wab, .txt, .htm a .html. Nikdy se však neodesílá na adresy, které obsahují výrazy @hotmail.com, @msn.com, @microsoft, @avp.

  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

v diskusi je 50 příspěvků

21. března 2024  10:23,  aktualizováno  14:26

Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

Načapali jsme otesánka, který se velkého sousta nezalekne. Boeing 747-400F

v diskusi je 8 příspěvků

21. března 2024

Poté, co na Letiště Václava Havla Praha přestaly v barvách Qatar Airways létat nákladní Boeingy...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 10 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 10 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 12 příspěvků

28. března 2024

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Úspěšný let prototypu XB-1 vrací do hry cestování nadzvukovou rychlostí

v diskusi je 30 příspěvků

27. března 2024  17:17

Po více než dvaceti letech, od ukončení provozu letounu Concorde, se možná opět dočkáme nadzvukové...

Jarní bouře ničila před 100 lety Prahu. Napáchala obří škody

v diskusi je 10 příspěvků

27. března 2024

Prahou prošla před 100 lety, 27. března 1924, neobvykle silná jarní bouřka. V části hlavního města...

Rána pro britskou monarchii. Princezna Kate má rakovinu, chodí na chemoterapii

Britská princezna z Walesu Kate (42) se léčí s rakovinou. Oznámila to sama ve videu na sociálních sítích poté, co se...

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...

Stále víc hráčů dobrovolně opouští Survivor. Je znamením doby zhýčkanost?

Letošní ročník reality show Survivor je zatím nejkritizovanějším v celé historii soutěže. Může za to fakt, že už...