Nový vir Netsky.P zamořil jednu velkou evropskou společnost

Již šestnáctý vir z řady Netsky (SomeFool) používá podobný trik jako nejnovější viry Beagle, když k nakažení počítače využívá neviditelný HTML kód. Zpráva, která je zavirována tímto virem, obsahuje část v HTML, která spustí přiložený vir. To je podstatný rozdíl mezi tímto virem a již zmíněným Beaglem. Ten si totiž soubor s virem stahuje z internetu. Nový Netsky.P (některé společnosti jej označují také jako Netsky.Q) navíc do těla zprávy vkládá falešnou zprávu, že e-mail prošel úspěšně antivirovou kontrolou.

Problém s tímto virem mohou mít především uživatelé, kteří si nezáplatují systém. Zmíněný HTML kód využívá již opravené chyby, která se objevila pouze v prohlížeči Internet Explorer 5.0 a 5.5, který využívají i e-mailové programy řady Outlook. O tom, že se najdou i tací, svědčí případ jedné z velkých evropských společností, jejíž počítače byly tímto virem zasaženy. „Napadená společnost patří mezi Top 500 evropských firem,“ uvedl bez bližších podrobností pro TechWeb Vincent Gullotto, virový expert z bezpečnostní společnosti Network Associates. Na druhou stranu je možné, že si tímto virem zaneřádili uživatelé počítače sami, když zavirovanou přílohu otevřeli.

Vir zanechává v napadených počítačích otevřená zadní vrátka pro případného útočníka, který tak může touto cestou rozesílat spam, či vykrádat data, hesla nebo útočit na další počítače.

Jak poznáte NetSky.P?

Jméno odesílatele je zfalšováno, tak jako u všech aktuálně se šířících virů. Orientovat se tak lze až podle předmětu zprávy, který může být vybrán z následující nabídky:

Mail Delivery (failure )
Postcard
Private document
Re: Administration
Re: Bad Request
Re: Delivery Protection
Re: Delivery Server
Re:document
Re: Encrypted Mail
Re: Error
Re: Extended Mail
Re: Extended Mail System
Re: Failure
Re:Hello
Re: Mail Authentification
Re: Mail Server
Re: Message Error
Re: Notify
Re: Protected Mail Delivery
Re: Protected Mail Request
Re: Protected Mail System
Re:Question
Re: Secure delivery
Re: Secure SMTP Message
Re: SMTP Server
Re: Status
Re: Test
Re: Thank you for delivery
Stolen document

Jak již bylo řečeno: v případě, že uživatel má nezáplatovaný systém, využívá Internet Explorer (IE) ve verzi 5.0 či 5.5 a nepřešel na IE 6.0 a zavirovanou zprávu otevře, neviditelný HTML kód spustí přílohu automaticky.

I pokud se tak nestane, je zde stále možnost, že přílohu spustí uživatel sám. K potvrzení, že se jedná o zavirovaný e-mail, může sloužit text v těle zprávy. Ten se skládá ze dvou částí. Ta první je vybírána z těchto vět:

Authentication required.
Congratulations!, your best friend.
Do not visit this illegal websites!
For further details see that attachment.
Greetings from france, your friend.
Here is my phone number.
I cannot believe that.
I found this document about you.
I have attached it to this mail.
I have attached your document.
I have received your document. The corrected document is attached.
If the message will not displayed automatically, follow the link to read the delivered message. Received message is available at: (odkaz)
Please confirm the document.
Please confirm!
Please read the attached file!
Please read the document.
Please read the important document.
Please see the attached file for details
Protected message is available
Requested file.
See the file.
Waiting for authentification.
Your details.
Your document is attached to this mail.
Your document is attached.
Your document.
Your file is attached.

Druhá část pak obsahuje falešnou hlášku, která má navodit pocit, že tento e-mail prošel úspěšně kontrolou antivirovým programem:

+++ Attachment: No Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com

++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com

+++ Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com

+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com

+++ Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com

++++ Attachment: No Virus found
++++ Norman AntiVirus - www.norman.com

++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.de

+++ Attachment: No Virus found
+++ Panda AntiVirus - www.pandasoftware.com

Samotná zavirovaná příloha některý z těchto názvů:

details(náhodná čísla)
document
document(náhodná čísla)
game_xxo
message
old_photos
part(náhodná čísla)
postcard_.( náhodná čísla)
websites(náhodná čísla)
your_document