Nová verze viru Mydoom útočí na Microsoft

  • 12
Masivně se šířící vir Mydoom, který se rychle šíří i Českou republikou, má nového bratříčka, ten nese označení Mydoom.B. Od svého předchůdce se liší mimo jiné tím, že 3. února provede masivní denial-of-service útok na stránky společnosti Microsoft. Původní vir útočil pouze na weby firmy SCO, ty se chystá napadnout i tato nová varianta a to ve stejný den (1.února). Šíří se nejen e-mailem, ale také výměnným systémem Kazaa. 

Další změnou spočívá v blokaci přístupu počítače na stránky antivirových společností proto, aby nebylo možno aktualizovat virovou databázi antivirových programů instalovaných počítačů. Zablokován je také přístup na některé stránky společnosti Microsoft či výměnných reklamích systémů.

Vir, jako jeho předchůdce, zanechává v systému zadní vrátka, které umožní bezproblémový přístup případného útočníka na napadený počítač. Samotný vir se přestane šířit 1.března.

Podle čeho vir poznáte?

Vir je možno rozeznat podle některého z následujících textů v předmětu zprávy:

  • Returned mail
  • Delivery Error
  • Status
  • Server Report
  • Mail Transaction Failed
  • Mail Delivery System
  • hello
  • hi

Samotné tělo zprávy pak obsahuje také několik variant:

  • sendmail daemon reported:
  • Error #804 occured during SMTP session. Partial message has been received.
  • Mail transaction failed. Partial message is available.
  • The message contains Unicode characters and has been sent as a binary attachment.
  • The message contains MIME-encoded graphics and has been sent as a binary attachment.
  • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Jak předmět, tak text, ale mohou být generovány náhodně.

Příloha, v níž se vir skrývá, obsahuje jednu nebo dvě přípony. Pokud je vybavena dvěmi příponami, pak ta první obsahuje některou z následujících koncovek:

.htm
.txt
.doc

Poslední přípona může mít šest variant:

.pif
.scr
.exe
.cmd
.bat
.zip
Pokud je přípona .scr či .exe, pak se ve zprávě objeví ikona pro textové sobory, které lze otevřít v programu NotePad.

Útok v rámci sítě Kazaa

V případě, že vir detekuje přítomnost výměnného systému Kazaa, vloží do složky download svou kopii s některým z těchto souborů:

· icq2004-final
· Xsharez_scanner
· BlackIce_Firewall_Enterpriseactivation_crack
· ZapSetup_40_148
· MS04-01_hotfix
· Winamp5
· AttackXP-1.26
· NessusScan_pro

Ty si pak vybírají z následujících koncovek

· .pif
· .scr
· .bat
· .exe

Zdá se také, že se vir pokouší nalézt počítače úspěšně napadené předchozí verzí viru, aby se díky otevřeným zadním vrátkům mohl do tohoto systému dostat.

Jak se daří Mydoom.A?

Pokud by se novinka šířila stejnou rychlostí jako původní Mydoom.A, jednalo by se další obrovské zatížení e-mailových serverů. Jen na adresy v doméně idnes.cz přicházelo každou hodinu tisíce zavirovaných elektronických zpráv. V České republice ovládl Mydoom.A až 50 procent e-mailového provozu.

Statistika společnosti Message Labs k výskytu viru Mydoom.A z 29.1.2004 

Organizace Message Labs doposud zaznamenala necelých 4 000 000 originálních výskytů ve 199 státech. Celosvětově se virus objevuje v každém desátém e-mailu.

Zdroj: Symatec

Související odkazy:

  • SCO dává 250 tisíc USD za hlavu autora červa MyDoom
  • AKTUALIZOVÁNO: Razantní červ Mydoom se za 24 hodin rozšířil po celém světě
  • Dumaru Y a Z – virus, který vás špehuje
  • Zajímavé programy a utilitky ke stažení zdarma - antivirové aplikace
  • Možná i vy jste spammeři a ani o tom nevíte
  • Deset pravidel pro účinnou antivirovou ochranu
  • Útočí nový vir Bagle alias Beagle
  • Objevily se dvě nové varianty e-mailového červa Sober. Jedna z nich již řádí
  • Virus Mimail mutoval a útočí ve verzi K
  • Červi řádí na internetu již dlouho
  • Pražský hrad byl napaden počítačovým červem
  • Nový e-mailový červ Sober se šíří internetem
  • Červ Sobig.F se nevyhnul ani českým firmám a institucím (AKTUALIZOVÁNO)
  • Inteligence počítačových virů roste neuvěřitelnou rychlostí
  • Internetový červ ochromil v sobotu část internetu