Červ NoDoom je na cestě. Přijde další zkáza?

Zatímco největší letošní pohroma jménem MyDoom pomalu odeznívá, autoři virů nelení. Po několika takřka nepostřehnutelných pokusech o zahlcení poštovních serverů je tu další nebezpečí v podobě hromadného útoku. Červ NoDoom má navíc tu drzost vydávat se za varování před nákazou.

Společnost MessageLabs, která se zabývá bezpečností e-mailové komunikace a již jsme mnohokrát zmiňovali v souvislosti s červem MyDoom, objevila další možnou hrozbu. Její štítová aplikace Skeptic zachytila dosud neznámý virus NoDoom, který podle heuristické analýzy připravuje další DoS útok - zahlcení internetových serverů hromadnými požadavky.

MessageLabs již ohledně nového červa kontaktovala všechny hlavní poskytovatele antivirových řešení. Ti by měli být schopní připravit účinnou obranu přibližně do 12 hodin. Ačkoliv tak učinila již 16. února, stránky antivirových společností dosud o NoDoomu mlčí.

Červ mnoha tváří

Skenovací engine Skeptic odchytil zatím kolem 800 exemplářů červa NoDoom v systémech klientů MessageLabs. Jeho masové šíření nebylo dosud zaznamenáno, podle mluvčího společnosti je to však jen otázkou času. NoDoom na sebe totiž na rozdíl od MyDooma bere několik podob: Jednou se tváří jako blahopřání k narozeninám, podruhé zase zmatený dopis od kamaráda, který si z předchozího bujarého večera nic nepamatuje. Největší nebezpečí znamená v případě, kdy varuje před sebou samým.

Tento postup už tvůrci počítačových virů jednou zvolili, a to u německého červa Sober. NoDoom experty překvapil především tím, že zneužívá renomé MessageLabs a jejím jménem upozorňuje uživatele před svou existencí. V příloze pochopitelně neobsahuje bezpečnostní záplatu, ale nebezpečný kód.

Pod lupou

Kód má délku 5 568 bytů a je zakomprimován packerem FSG. Podrobnou analýzou odborníci zjistili, že NoDoom obsahuje vlastní SMTP rutinu pro odesílání pošty, jejímž prostřednictvím se šíří dál. Adresy příjemců si nevybírá jen z databází e-mailových klientů, ale prohledává různé typy souborů na všech připojených discích: .DBX, .EML, .HTM, .HTML, .MBX, .MMF, .NCH, .OCS, .TBB a .TXT. Stejným způsobem falšuje také adresu odesílatele.

Červ se po spuštění nakopíruje do systémového adresáře jako \system32\ctsls.exe a do registrů vloží příkaz ke spuštění po každém restartu počítače. Například:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "Ctsls" = C:\WINNT\System32\ctsls.exe

Pokouší se také rozmístit do sdílených adresářů P2P aplikací, jejichž názvy obsahují "Share" či "Sharing". Dále obsahuje seznam doménových jmen spojených s undernet.org a některé části kódu slouží ke komunikaci se servery IRC. To ukazuje na to, že červ může přes IRC přijímat příkazy od svých tvůrců a připravovat se na útok proti uvedeným serverům.

Jak poznat NoDooma?

Předmět infikované zprávy může obsahovat následující formulace:

  • Happy Birthday
  • I can't recall what happened but..
  • I don't understand..
  • Is this the Smallest C++ MassMailer???
  • Shit happens...
  • SoBig SoSmall
  • Virus Alert: W32.Nodoom.A@mm

V těle mailu jsou uvedeny tyto informace:

  • Here are the files you asked for, cheers
  • Please explain me this attachment, it confused me..
  • SoSmall, SoCold, SoNice, SoGood, SoWarm..
  • Can you recall what happened at the party last friday?
    I'm having serious problems, i really should stop smoking!
    Maybe the picture files attached will explain it to you...
  • MessageLabs are the first to report of the new Nodoom Internet Worm.
    Please install the patch attached in this email to prevent outbreaks.
  • Is this what where all about?

Attachment o délce 5 kB má tyto názvy souborů:

  • antiserum_1.exe
  • file.txt .exe
  • documents.exe
  • myfiles.exe
  • screensaver.scr
  • patch.exe
  • pics.pif
  • weird.jpg         .zip.exe
  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 45 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

v diskusi je 50 příspěvků

21. března 2024  10:23,  aktualizováno  14:26

Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 22 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Za vyhynutím dinosaurům mohla být i doba temna

v diskusi nejsou příspěvky

29. března 2024

Dopad planetky je nyní většinou odborníků považován za hlavní příčinu vyhynutí zhruba 73 až 76 %...

Podívejte se na Boeing C-17 Globemaster, který do Česka přivezl nové vrtulníky

v diskusi jsou 3 příspěvky

29. března 2024

V sobotu 23. března dosedl v Praze nákladní letoun USAF, který vezl obzvlášť cenný náklad. Z...

Dočasná raketa se po téměř 70 letech loučí. Bude startovat naposledy

v diskusi je 5 příspěvků

28. března 2024  15:36,  aktualizováno  19:54

Tento čtvrtek stojí na startovací rampě mysu Canaveral poslední potomek raket Thor, nosič Delta IV...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 22 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

2. týden: Vyhrajte dobroty pro batolata v hodnotě 3 466 Kč
2. týden: Vyhrajte dobroty pro batolata v hodnotě 3 466 Kč

Zúčastněte se volby jména roku 2024 a správně odpovězte na soutěžní otázku.

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Velikonoce 2024: Na Velký pátek bude otevřeno, v pondělí obchody zavřou

Otevírací doba v obchodech se řídí zákonem, který nařizuje, že obchody s plochou nad 200 čtverečních metrů musí mít...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...