Vir Mydoom se vrací. Mějte se na pozoru

Jeden z nejvíce se šířících virů minulého roku dostal novou podobu, které se bohužel také docela dobře daří. Mydoom.BB, ale také Mydoom.AX či Mydoom.AU používá různé triky, jak se dostat do všeho PC.
Přibližně po roce po svém prvním výrazném úspěchu se znovu přihlásil o pozornost virus Mydoom. Minulý rok se jednalo o jeden z nejrychleji se šířících virů, který se ozval ještě v létě a na podzim.

Současná varianta již také bohužel nachytala množství uživatelů především ve Spojených státech a Asii. Avšak podle posledních zpráv nezůstává mimo ani Evropa.

Vir využívá adresy získané na napadeném počítači a další se pokouší najít pomocí vyhledávacích serverů. Zde používá domény ze získaných adres, aby zjistil další e-maily.

Samotný vir se při spuštění uloží do adresáře Windows pod názvem Java.exe a zároveň si úpravou registrů zajistí, aby se spustil při každém zapnutí počítače.

Jak vir poznáte?

I když vir falšuje adresu odesílatele, používá v některých případech následující padělané adresy:

"Postmaster"
"Mail Administrator"
"Automatic Email Delivery Software"
"Post Office"
"The Post Office"
"Bounced mail"
"Returned mail"
"MAILER-DAEMON"
"Mail Delivery Subsystem"

První jistější identifikační indicií, je tedy až text v předmětu zprávy. Ten může obsahovat adresu příjemce nebo má některou z následujících podob:

hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
The original message was included as attachment
The/Your m/Message could not be delivered

Samotné tělo zprávy je pak podle společnosti TrendMicro vytvořeno kombinací různých nabídek ve zhruba 11 částech předpřipraveného textu. V každém z nich se totiž nachází několik možností, které může vir při vytváření zprávy použít. Těchto 11 textů má následující podobu:

  • Dear user {adresa příjemce|of doména příjemce},{ {{M|m}ail {system|server} administrator|administration} of doména příjemce would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
    {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
    {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
    {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
    {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
    { doména příjemce {user |technical |}support team.|The doména příjemce {support |}team.}
  •  

  • {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
    Your message {was not|could not be} delivered because the destination {computer|server} was{not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters.
    Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
  •  

  • Your message {was not|could not be} delivered within /náhodně vybrané číslo/ days:
    {{{Mail s|S}erver}|Host} is not responding.
    The following recipients {did|could} not receive this message: Please reply to postmaster@{ doména odeílatele| adresa příjemce} if you feel this message to be in error. The original message was received at /aktuální čas/{ | }from {doména odesílatele}} ----- The following addresses had permanent fatal errors -----
    {[[adresa příjemce]]|[ adresa příjemce]}
    {----- Transcript of {the ||}session follows -----
    ... while talking to {host |{mail |}server ||||}{[ doména příjemce]}:
    {]]] MAIL F{rom|ROM}:[From address of mail]
    [[[ 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 [[adresa příjemce]]... {Mail quota exceeded|Message is too large}
    554 [[adresa příjemce]]... Service unavailable|550 5.1.2 [[adresa příjemce]]... Host unknown (Name server: host not found)|554 {5.0.0|}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
    Session aborted{, reason: lost connection|}|]]] RCPT To:[[ adresa příjemce]]
    [[[ 550 {MAILBOX NOT FOUND|5.1.1 [[adresa příjemce]]... {User unknown|Invalid recipient|Not known here}}|]]] DATA
    {[[[ 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output |}
    {[[[ 400-aturner; -RMS-E-CRE, ACP file create failed |}
    {[[[ 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded |}[[[ 400}|}
    The original message was included as an attachment.
    {{The|Your} m|M}essage could not be delivered
  • Ve výsledku pak může zpráva vypadat například takto:

    Dear user technet@technet.cz,

    Your e-mail account was used to send a huge amount of unsolicited e-mail messages during the recent week. Most likely your computer had been infected by a recent virus and now runs a hidden proxy server. Please follow our instruction in the attached file in order to keep your computer safe.

    Virtually yours,

    The technet.cz support team.

    Přiložený soubor, je buď generován za pomoci adres, které vir získá nebo je vytvořen z následujících slov :

    ATTACHMENT
    DOCUMENT
    FILE
    INSTRUCTION
    LETTER
    MAIL
    MESSAGE
    README
    TEXT
    TRANSCRIPT

    Ty jsou doplněny o některou z těchto koncovek:

    .bat
    .cmd
    .com
    .exe
    .pif
    .scr
    .zip

    Další akce viru

    Po napadení počítače čeká vir na případné povely na TCP portu 1034, který si za tímto účelem otevře.

    Vir se také pokouší stáhnout z internetu jeden program, který se v počítači usídlí pod názvem DX32CXLP. V napadeném počítači pak čeká na příkazy zaslané prostřednictvím Internet Relay Chat (IRC) serverů, kam se přihlašuje. Tento zákeřný kód se dále pokouší zamezit přístupu počítače na servery antivirových a dalších bezpečnostních společností .

    Opatrnost je na místě

    Antivirové společnosti tento vir analyzují a v případě, že budou aktualizovat informace o tomto viru, dozvíte se to i vy.

    Nezapomeňte si do svého antivirového programu stáhnout aktuální virovou databázi, která by již měla na tento vir reagovat a dbejte zvýšené opatrnosti. Jak bojovat s virovou nákazou se můžete dozvědět z našeho speciálu o virech.

    • Nejčtenější

    Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

    v diskusi je 125 příspěvků

    26. března 2024

    S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

    Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

    v diskusi je 76 příspěvků

    27. března 2024

    Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

    {NADPIS reklamního článku dlouhý přes dva řádky}

    {POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

    Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

    v diskusi je 44 příspěvků

    28. března 2024

    Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

    Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

    v diskusi je 50 příspěvků

    21. března 2024  10:23,  aktualizováno  14:26

    Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

    {NADPIS reklamního článku dlouhý přes dva řádky}

    {POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

    Američané odepsali modul, který je vrátil po půl století na Měsíc

    v diskusi je 21 příspěvků

    28. března 2024,  aktualizováno  11:41

    Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

    Za vyhynutím dinosaurům mohla být i doba temna

    v diskusi nejsou příspěvky

    29. března 2024

    Dopad planetky je nyní většinou odborníků považován za hlavní příčinu vyhynutí zhruba 73 až 76 %...

    Podívejte se na Boeing C-17 Globemaster, který do Česka přivezl nové vrtulníky

    v diskusi jsou 2 příspěvky

    29. března 2024

    V sobotu 23. března dosedl v Praze nákladní letoun USAF, který vezl obzvlášť cenný náklad. Z...

    Dočasná raketa se po téměř 70 letech loučí. Bude startovat naposledy

    v diskusi jsou 4 příspěvky

    28. března 2024  15:36,  aktualizováno  19:54

    Tento čtvrtek stojí na startovací rampě mysu Canaveral poslední potomek raket Thor, nosič Delta IV...

    Američané odepsali modul, který je vrátil po půl století na Měsíc

    v diskusi je 21 příspěvků

    28. března 2024,  aktualizováno  11:41

    Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

    Šárka Hamrusová: Díky laktační poradkyni jsem si přestala myslet, že je chyba ve mně
    Šárka Hamrusová: Díky laktační poradkyni jsem si přestala myslet, že je chyba ve mně

    Šárka chtěla kojit. Chvíli to ale vypadalo, že se jí to nepodaří. Díky správně zvolené laktační poradkyni nakonec dosáhla úspěchu. Poslechněte si...

    Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

    Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

    Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

    Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

    Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

    Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

    Velikonoce 2024: Na Velký pátek bude otevřeno, v pondělí obchody zavřou

    Otevírací doba v obchodech se řídí zákonem, který nařizuje, že obchody s plochou nad 200 čtverečních metrů musí mít...

    Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

    S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...