Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Píše vám Bill? Pak to bude vir!

aktualizováno 
Pokud jste si mysleli, že internetový červ Sobig je již starou záležitostí, pak jste se hluboce zmýlili. Najdete-li totiž ve své e-mailové schránce dopis od Billa Gatese, pravděpodobně půjde o novou mutaci viru s označením Sobig.C.

Další letošní vir s označením Sobig nedá spát tvůrcům antivirových programů. Poté, co se zčista jasna objevil poprvé v polovině ledna, vrátil se v předminulém týdnu podruhé a tentokrát dokonce ve dvou mutacích. Tou první je Win32/Palyh, který byl následně antivirovými odborníky přejmenován na Sobig.B (vykazoval totiž totožné znaky jako původní Sobig), a tím druhým je současná jednička virové scény Sobig.C.

Červ se šíří pomocí e-mailových klientů a v Česku se ještě nestačil usadit. Ovšem co není dnes, může být zítra, o tomto faktu jsme se již několikrát mohli přesvědčit na vlastní kůži. Pokud vám tedy přijde elektronická pošta od odesílatele s adresou bill@microsoft.com, zpozorněte. S největší pravděpodobností vám nepíše Bill Gates, ale vir Sobig.C.

Sobig.C alias W32/Sobig.C@mm, Win32/Sobig.C@mm vyrazil na svou pouť již 31. května. Jeho šíření bylo zprvu velmi pomalé. Na intenzitě nabral až v pondělí kolem poledne a během včerejšího dne. Jako místo původu se udává Británie, kde se vyskytuje největší procento nakažených počítačů. Dle zdrojů serveru MessageLabs jde v současné době o nejrozšířenější vir. Jeho aktivita byla již odhalena ve více jak sto zemích.

Při svém šíření používá v předmětu zprávy jeden z následujících textů:
Re: Screensaver
Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application

Jako tělo zprávy používá následující text:
Please see the attached file

V příloze samotného emailu je přiložen soubor s označením:
screensaver.scr
movie.pif
submited.pif
45443.pif
documents.pif
approved.pif
application.pif
document.pif
 

Dojde-li k aktivaci červa, v systémovém adresáři Windows se objeví tento soubor „mscvb32.exe“ (50 kB) a do systémových registrů přibude následující klíč:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
System MScvb = %WindowsDir%\mscvb32.exe

Ten se postará o start infikovaného soubor při každém naběhnutí operačního systému Windows.

Vir se rozesílá na všechny adresy uložené v souborech s příponami: .wab, .dbx, .htm, .html, .eml a .txt. Samozřejmě se šíří i po lokální síti. Na vzdálených počítačích se ukládá do těchto adresářů:

Windows\All Users\Start Menu\Programs\Startup\
Documents and Settings\All Users\Start Menu\Programs\Startup

Jde o startovací položky operačních systému Windows. Červ odsud následně infikuje celý počítač při dalším start systému.

Zadní vrátka
Na začátku svého šíření využíval zadních vrátek pro stahování dalších svých komponent z několika URL adres nadefinovaných v jeho kódu. Ty jsou v současné době již zablokovány.

Pokud jste červa spustili, můžete počítač vyčistit pomocí jednorázové utilitky, kterou naleznete na této adrese (56 kB).

Autor:




Hlavní zprávy

Další z rubriky

Kit Harington jako Jon Snow. Záběr ze sedmé série seriálu Hra o trůny
Hackeři napadli televizi HBO, ukradli i scénář Hry o trůny

Kabelová televize HBO v pondělí informovala, že hackeři ukradli některá její data týkající se programu vysílání. Server týdeníku Entertainment Weekly napsal,...  celý článek

Avid Media Composer First
Stříhejte video jako hollywoodští profíci. Střižna od Avidu je zdarma

Společnost Avid vydala bezplatnou verzi své střižny Media Composer s názvem Media Composer First. Oproti té plné „hollywoodské“ verzi má několik omezení, ale...  celý článek

Foto: Freeimages.com
Stáhněte si zdarma: Vlastní analytik výkonu PC

Analýzu procesů s možností objevit ty škodlivé přenechte programu Whats My Computer Doing. Rychlé šifrování dat na jeden klik obstará Kryptelite. S PC dodávaný...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.