Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Soho a DIDer: Viry a neviry...

  5:00aktualizováno  5:00
Čert nikdy nespí a autoři virů také ne! Mezi uživateli tak počátkem roku 2002 vesele koluje trojský kůň DIDer a i-worm Soho. Co všechno dovedou a jak jsou nebezpeční...?

Mnoho uživatelů si vůbec a nebo jen velmi málo uvědomuje nebezpečí, které pro jeho počítačový systém může znamenat napadení trojským koněm, tj. programovým kódem umožňujícím odesílání citlivých informací z napadeného počítače a jeho případné otevření dalším, mnohdy ničivějším útokům. Trojský kůň DIDer spatřil světlo světa již v závěru minulého roku. Původně byl vyvinut divizí NetUProfits společnosti Strategic Advertising Services, a to jako součást on-line loterijní hry ClickTillUWin. Zde měl za úkol sledovat účinnost zobrazované reklamy. Ačkoliv se nejedná o virus v pravém smyslu slova a nebezpečnost se zatím nezdá býti příliš vysoká, je třeba míti se napozoru. Tento trojský kůň je obsažen v klientech výměnných systémů Grokster, Limewire Gnutella, KaZaA a také v některých dalších aplikacích.

Trojského koně DIDer tvoří dvě komponenty. Jeho hlavní částí je soubor Explorer.exe, který je uložen do podadresáře Windows\Explorer\. Hlavní komponenta je stahována a upgradována pomocí druhé utility, která je obsažena v souboru DlDer.exe, uložené v hlavním adresáři Windows. Když je soubor DlDer.exe po instalaci všech součástí softwaru, se kterým je distribuován, spuštěn, stáhne z webu soubor Explorer.exe a uloží jej do výše zmíněného podadresáře. Následně vytvoří v systémových registrech klíč, který zajistí jeho spuštění při startu systému. Při příštím startu systému je Explorer.exe aktivován a vytvoří podobný klíč v registrech pro soubor DIDer.exe - tyto komponenty se aktivují navzájem. Poté se připojí na server 2001-007.com, kam předává informace o uživatelově ID, IP adrese, internetovém prohlížeči a webech, které navštěvuje. Nelze však vyloučit skutečnost, že může v systému otevírat potenciálně zneužitelnou bezpečnostní díru. Činnosti tohoto trojského koně lze zabránit poměrně snadno - lze jej ze systému odstranit jednoduchým vymazáním jeho uvedených komponent a provedením restartu systému.

Zhruba ve stejném čase jako trojský kůň DIDer se objevil na internetu nový virus typu I-Worm – Soho, který antivirové programy detekují také jako I-Worm.Welyah, W32.Shoho@MM, W32/Welyah.A@mm nebo W32/Shoho@MM. Shoho je klasický e-mailový červ, který se šíří v příloze infikované zprávy elektronické pošty. Z nakaženého počítače odesílá nebo maže některé soubory. Červ je soubor typu PE EXE o velikosti asi 108 kB, napsaný ve Visual Basicu a jeho kód není komprimován ani šifrován. Infikovaný e-mail je v HTML formátu a využívá bezpečnostní díru, která dovoluje na „nezáplatovaném“ systému spustit nebezpečný kód již při pouhém otevření zprávy. Pokud je červ spuštěn, zkopíruje do systémového adresáře Windows soubor WINL0G0N.EXE a vytvoří následující položky v systémových registrech:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run WINL0G0N.EXE = \WINL0G0N.EXE HKLM\Software\Microsoft\Windows\CurrentVersion\Run WINL0G0N.EXE = \WINL0G0N.EXE

K rozesílání používá přímého napojení na SMTP server, který zjistí ze systémového registru, nebo použije svůj vlastní – tj. 210.177.111.18. E-mailové adresy červ získá ze souborů typu: .eml, .wab, .dbx, .mbx, .xls, .xlt, .mdb. Rozesílaná zpráva elektronické pošty obsahuje následující údaje:

Předmět: Welcome to Yahoo! Mail
Text: Welcome to Yahoo! Mail
Příloha: readme.txt .pif

Červ ukládá e-mailové adresy, na které se odeslal, do souboru emailinfo.txt a svůj kód uchovává v souboru email.txt. Pokud na lokálním disku najde soubory tree.dat, smdata.dat, hosts.dat nebo sm.dat, odešle je na FTP server ftphd.pchome.com.tw, a to uživatelům „shit0918“, „shit530“, „shiu58“, „shoho2“ a „shoo2206“. Pozor – tento červ disponuje destrukční rutinou, která maže všechny soubory v aktuálním adresáři a po restartu i v adresáři Windows.





Hlavní zprávy

Další z rubriky

Ovládání klávesnice Windows očima.
Microsoft zkouší u Windows 10 ovládání očima

Microsoft přidal do testovací verze Windows 10 podporu systému Eye Control, který umožňuje ovládat počítač očima.   celý článek

Tablet pro práci i zábavu
Aplikace pro tablety: zjistěte, co měří senzory, nebo upravujte fotky

Zajímavá aplikace zobrazí informace ze senzorů mobilního zařízení, jiná nahraje obsah obrazovky nebo aplikaci s bohatou nabídkou fotek a obrázků na pozadí...  celý článek

Diskové úložiště
Speciální programy ukážou, co na disku nejvíce užírá volné místo

Znovuobjevit zapomenuté fotografie, najít založené či ztracené dokumenty anebo zjistit, zda některé soubory nemáte na diskovém úložišti vícekrát. To jsou...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.