Pozor! Vánoční pohlednice je vir!

Dnes se i českým internetem začal mohutně šířit nový vir s označením Zafi.D či Erkez.D. Jeho nebezpečí pro českou komunitu se skrývá v tom, že jedna z jeho mutací je i v české verzi. Samotný vir se skrývá v příloze, která se tváří jako odkaz na elektronickou vánoční pohlednici.

Jak vir poznáte?

Vzhledem k falšování adresy odesílatele, je první identifikační indicií až text v předmětu zprávy. Ten má v české verzi následující podobu:

Fw: Christmas pohlednice

Cizojazyčná verze pak může disponovat tímto textem:

Re: Merry Chrsitmas! Merry Christmas! boldog karacsony... Feliz Navidad! ecard.ru Christmas Kort! Christmas Vykort! Christmas Postkort! Christmas postikorti! Christmas - Kartki! Weihnachten card. Prettige Kerstdagen! Christmas pohlednice Joyeux Noel! Buon Natale!

Samotné tělo zprávy je pak vytvořeno z nápisu

*Veselé .... ....Vánoce* *.... ....*

,který je přerušen grafickým prvkem. V další části může uživatel objevit tento znak :) a jméno odesílatele. To je vykradeno z podvrhnuté adresy. Ještě před ním může u některých variant být text Ať Tě rok 2005 baví!

Pod čarou se pak nachází falešný odkaz zakončený podrobnostmi o souboru pohlednice.

Nečeské verze obsahují tento text:

Happy HollyDays! :) [Jméno odesílatele] Kellemes Unnepeket! :) [Jméno odesílatele] Feliz Navidad! :) [Jméno odesílatele] :) [Jméno odesílatele] Glaedelig Jul! :) [Jméno odesílatele] God Jul! :) [Jméno odesílatele] God Jul! :) [Jméno odesílatele] Iloista Joulua! :) [Jméno odesílatele] Naulieji Metai! :) [Jméno odesílatele] Wesolych Swiat! :) [Jméno odesílatele] Fröhliche Weihnachten! :) [Jméno odesílatele] Prettige Kerstdagen! :) [Jméno odesílatele] Joyeux Noel! :) [Jméno odesílatele] Buon Natale! :) [Jméno odesílatele]

Přiložený soubor, který se tváří jako odkaz na pohlednici může začínat následujícím textem:

link.pohlednice.christmas

případně

Link.postcard.christmas  postcard.index card

Ten je doplněn o několik dalších koncovek zakončených například koncovkou

.BAT, .COM, .CMD,.HTM, PIF, .ZIP

 

V případě, že někdo tuto přílohu otevře, zobrazí se mu chybová hláška

Error in packed file!

Vir následně ukončí všechny běžící procesy, které mají ve svém názvu některý z těchto textů:

reged msconfig task

Vedle toho se pokouší najít spouštěcí soubory v adresářích, které obsahují v názvu některý z následujících textů a jejich běh ukončit:

syman viru trend secur panda cafee sopho kasper

Vedle klasického rozesílání svého těla prostřednictvím e-mailu, se pokouší šířit také přes sdílené adresáře, jenž rozpoznává podle textové řetězce shar, který mohou obsahovat. Do nich se pak nakopíruje pod některým z těchto názvů:

winamp 5.7 new!.exe ICQ 2005a new!.exe

Dále se pokusí připojit k doméně Microsoft.com a otevře TCP port 8181, kde čeká na případné další příkazy.

Opatrnost je na místě

Nezapomeňte si do svého antivirového programu stáhnout aktuální virovou databázi, která by již měla na tento vir reagovat a dbejte zvýšené opatrnosti. Jak bojovat s virovou nákazou se můžete dozvědět z našeho speciálu o virech.