Vir Mydoom se vrací. Mějte se na pozoru

Přibližně po roce po svém prvním výrazném úspěchu se znovu přihlásil o pozornost virus Mydoom. Minulý rok se jednalo o jeden z nejrychleji se šířících virů, který se ozval ještě v létě a na podzim.

Současná varianta již také bohužel nachytala množství uživatelů především ve Spojených státech a Asii. Avšak podle posledních zpráv nezůstává mimo ani Evropa.

Vir využívá adresy získané na napadeném počítači a další se pokouší najít pomocí vyhledávacích serverů. Zde používá domény ze získaných adres, aby zjistil další e-maily.

Samotný vir se při spuštění uloží do adresáře Windows pod názvem Java.exe a zároveň si úpravou registrů zajistí, aby se spustil při každém zapnutí počítače.

Jak vir poznáte?

I když vir falšuje adresu odesílatele, používá v některých případech následující padělané adresy:

"Postmaster" "Mail Administrator" "Automatic Email Delivery Software" "Post Office" "The Post Office" "Bounced mail" "Returned mail" "MAILER-DAEMON" "Mail Delivery Subsystem"

První jistější identifikační indicií, je tedy až text v předmětu zprávy. Ten může obsahovat adresu příjemce nebo má některou z následujících podob:

hello hi error status test report delivery failed Message could not be delivered Mail System Error - Returned Mail Delivery reports about your e-mail Returned mail: see transcript for details Returned mail: Data format error The original message was included as attachment The/Your m/Message could not be delivered

Samotné tělo zprávy je pak podle společnosti TrendMicro vytvořeno kombinací různých nabídek ve zhruba 11 částech předpřipraveného textu. V každém z nich se totiž nachází několik možností, které může vir při vytváření zprávy použít. Těchto 11 textů má následující podobu:

Dear user {adresa příjemce|of doména příjemce},{ {{M|m}ail {system|server} administrator|administration} of doména příjemce would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||} {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week. {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server. {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe. {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day}, { doména příjemce {user |technical |}support team.|The doména příjemce {support |}team.}   {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}: Your message {was not|could not be} delivered because the destination {computer|server} was{not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.   Your message {was not|could not be} delivered within /náhodně vybrané číslo/ days: {{{Mail s|S}erver}|Host} is not responding. The following recipients {did|could} not receive this message: Please reply to postmaster@{ doména odeílatele| adresa příjemce} if you feel this message to be in error. The original message was received at /aktuální čas/{ | }from {doména odesílatele}} ----- The following addresses had permanent fatal errors ----- {[[adresa příjemce]]|[ adresa příjemce]} {----- Transcript of {the ||}session follows ----- ... while talking to {host |{mail |}server ||||}{[ doména příjemce]}: {]]] MAIL F{rom|ROM}:[From address of mail] [[[ 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 [[adresa příjemce]]... {Mail quota exceeded|Message is too large} 554 [[adresa příjemce]]... Service unavailable|550 5.1.2 [[adresa příjemce]]... Host unknown (Name server: host not found)|554 {5.0.0|}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|} Session aborted{, reason: lost connection|}|]]] RCPT To:[[ adresa příjemce]] [[[ 550 {MAILBOX NOT FOUND|5.1.1 [[adresa příjemce]]... {User unknown|Invalid recipient|Not known here}}|]]] DATA {[[[ 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output |} {[[[ 400-aturner; -RMS-E-CRE, ACP file create failed |} {[[[ 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded |}[[[ 400}|} The original message was included as an attachment. {{The|Your} m|M}essage could not be delivered

Ve výsledku pak může zpráva vypadat například takto:

Dear user technet@technet.cz, Your e-mail account was used to send a huge amount of unsolicited e-mail messages during the recent week. Most likely your computer had been infected by a recent virus and now runs a hidden proxy server. Please follow our instruction in the attached file in order to keep your computer safe. Virtually yours, The technet.cz support team.

Přiložený soubor, je buď generován za pomoci adres, které vir získá nebo je vytvořen z následujících slov :

ATTACHMENT DOCUMENT FILE INSTRUCTION LETTER MAIL MESSAGE README TEXT TRANSCRIPT

Ty jsou doplněny o některou z těchto koncovek:

.bat .cmd .com .exe .pif .scr .zip

Další akce viru

Po napadení počítače čeká vir na případné povely na TCP portu 1034, který si za tímto účelem otevře.

Vir se také pokouší stáhnout z internetu jeden program, který se v počítači usídlí pod názvem DX32CXLP. V napadeném počítači pak čeká na příkazy zaslané prostřednictvím Internet Relay Chat (IRC) serverů, kam se přihlašuje. Tento zákeřný kód se dále pokouší zamezit přístupu počítače na servery antivirových a dalších bezpečnostních společností .

Opatrnost je na místě

Antivirové společnosti tento vir analyzují a v případě, že budou aktualizovat informace o tomto viru, dozvíte se to i vy.

Nezapomeňte si do svého antivirového programu stáhnout aktuální virovou databázi, která by již měla na tento vir reagovat a dbejte zvýšené opatrnosti. Jak bojovat s virovou nákazou se můžete dozvědět z našeho speciálu o virech.