Velká virová hrozba Mydoom.O

Po celém světě od Asie přes Spojené státy až například po Německo se nyní šíří nová verze počítačového viru Mydoom.O, který některé bezpečnostní firmy nazývají také Mydoom.M.

Vir je specifický tím, že vedle klasického získávání adres v napadeném počítači, testuje také prostřednictvím vyhledávacích služeb http://search.lycos.com, http://www.altavista.com, http://search.yahoo.com a http://www.google.com, zda se v objevené doméně nevyskytují i další schránky. Z toho se dá usuzovat, že vir může sloužit i jako sběratel adres pro rozesílání spamu.

Mezi jeho další specifika náleží fakt, že nevyužívá několik předem připravených textů e-mailu, ale výsledný obsah je kombinací množství různých variant, které má vir k dispozici. Vir v e-mailu a příloze hojně využívá různé domény a jména, která objeví na napadeném počítači, aby se tvářil co nejdůvěryhodněji a donutil tak uživatele k otevření zavirované přílohy.

Mydoom.O v napadeném systému nechává otevřená vrátka na portu 1034, kde čeká na případné instrukce.

Jak vir poznáte?

Jméno odesílatele e-mailu je podvrženo z adres, které Mydoom.O objeví v napadeném počítači. V předmětu e-mailu vir využívá některý z následujících textů:

click me baby, one more time delivery failed Delivery reports about your e-mail error hello hi error Mail System Error - Returned Mail Message could not be delivered report Returned mail: Data format error Returned mail: see transcript for details say helo to my litl friend status test The original message was included as attachment The/Your m/Message could not be delivered

 

Jak již bylo naznačeno, text zprávy vychází z kombinace několika variant, do kterých je zakomponována doména či jméno příjemce nebo odesílatele, které vir doplňuje podle adresy, na níž se zaslal. Vir také v jedné variantě textu využívá adresu poštovního serveru, který používá napadený počítač, z něhož byl zavirovaný e-mail odeslán. Podle společnosti Symantec tak některé výsledné texty vycházejí z následujících variant:

Pozn: Ve složených závorkách jsou zobrazeny možné varianty doplňovaného textu, které jsou odděleny svislým znakem „|“.

Dear user {|of },{ {{M|m}ail {system|server} administrator|administration} of would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||} {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week. {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server. {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe. {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day}, { {user |technical |}support team.|The {support |}team.} {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}: Your message {was not|could not be} delivered because the destination {computer|server} was {not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura- tion parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now. Your message {was not|could not be} delivered within days: {{{Mail s|S}erver}|Host} } is not responding. The following recipients {did|could} not receive this message: <> Please reply to postmaster@{|} if you feel this message to be in error. The original message was received at [current time]{ | }from { ]|{]|]}} ----- The following addresses had permanent fatal errors ----- {<>|} {----- Transcript of {the ||}session follows ----- ... while talking to {host |{mail |}server ||||}{.|]}: {>>> MAIL F{rom|ROM}:[From address of mail] <<< 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <>... {Mail quota exceeded|Message is too large} 554 <>... Service unavailable|550 5.1.2 <>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|} Session aborted{, reason: lost connection|}|>>> RCPT To:<> <<< 550 {MAILBOX NOT FOUND|5.1.1 <>... {User unknown|Invalid recipient|Not known here}}|>>> DATA {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output |}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed |}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded |}<<< 400}|} The original message was included as attachment {{The|Your} m|M}essage could not be delivered

Samotná příloha se zavirovaným obsahem čerpá svůj název z domény, kterou objeví na napadeném počítači. To může být značně nebezpečné, neboť záměna komerční domény .com a spustitelné přípony *.com není v tomto případě samozřejmě patrná. Příloha také v některých případech využívá slov z následujícího seznamu:

attachment document file instruction letter mail message readme text transcript

Pokud tedy na základě předchozích indicií získáte podezření, že vám přišel tento vir, bez váhání jej smažte. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se i při vší oparnosti však již neobejdete.

Jak se bránit? Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.