Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Červ NoDoom je na cestě. Přijde další zkáza?

aktualizováno 
Zatímco největší letošní pohroma jménem MyDoom pomalu odeznívá, autoři virů nelení. Po několika takřka nepostřehnutelných pokusech o zahlcení poštovních serverů je tu další nebezpečí v podobě hromadného útoku. Červ NoDoom má navíc tu drzost vydávat se za varování před nákazou.

Společnost MessageLabs, která se zabývá bezpečností e-mailové komunikace a již jsme mnohokrát zmiňovali v souvislosti s červem MyDoom, objevila další možnou hrozbu. Její štítová aplikace Skeptic zachytila dosud neznámý virus NoDoom, který podle heuristické analýzy připravuje další DoS útok - zahlcení internetových serverů hromadnými požadavky.

MessageLabs již ohledně nového červa kontaktovala všechny hlavní poskytovatele antivirových řešení. Ti by měli být schopní připravit účinnou obranu přibližně do 12 hodin. Ačkoliv tak učinila již 16. února, stránky antivirových společností dosud o NoDoomu mlčí.

Červ mnoha tváří

Skenovací engine Skeptic odchytil zatím kolem 800 exemplářů červa NoDoom v systémech klientů MessageLabs. Jeho masové šíření nebylo dosud zaznamenáno, podle mluvčího společnosti je to však jen otázkou času. NoDoom na sebe totiž na rozdíl od MyDooma bere několik podob: Jednou se tváří jako blahopřání k narozeninám, podruhé zase zmatený dopis od kamaráda, který si z předchozího bujarého večera nic nepamatuje. Největší nebezpečí znamená v případě, kdy varuje před sebou samým.

Tento postup už tvůrci počítačových virů jednou zvolili, a to u německého červa Sober. NoDoom experty překvapil především tím, že zneužívá renomé MessageLabs a jejím jménem upozorňuje uživatele před svou existencí. V příloze pochopitelně neobsahuje bezpečnostní záplatu, ale nebezpečný kód.

Pod lupou

Kód má délku 5 568 bytů a je zakomprimován packerem FSG. Podrobnou analýzou odborníci zjistili, že NoDoom obsahuje vlastní SMTP rutinu pro odesílání pošty, jejímž prostřednictvím se šíří dál. Adresy příjemců si nevybírá jen z databází e-mailových klientů, ale prohledává různé typy souborů na všech připojených discích: .DBX, .EML, .HTM, .HTML, .MBX, .MMF, .NCH, .OCS, .TBB a .TXT. Stejným způsobem falšuje také adresu odesílatele.

Červ se po spuštění nakopíruje do systémového adresáře jako \system32\ctsls.exe a do registrů vloží příkaz ke spuštění po každém restartu počítače. Například:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "Ctsls" = C:\WINNT\System32\ctsls.exe

Pokouší se také rozmístit do sdílených adresářů P2P aplikací, jejichž názvy obsahují "Share" či "Sharing". Dále obsahuje seznam doménových jmen spojených s undernet.org a některé části kódu slouží ke komunikaci se servery IRC. To ukazuje na to, že červ může přes IRC přijímat příkazy od svých tvůrců a připravovat se na útok proti uvedeným serverům.

Jak poznat NoDooma?

Předmět infikované zprávy může obsahovat následující formulace:

  • Happy Birthday
  • I can't recall what happened but..
  • I don't understand..
  • Is this the Smallest C++ MassMailer???
  • Shit happens...
  • SoBig SoSmall
  • Virus Alert: W32.Nodoom.A@mm

V těle mailu jsou uvedeny tyto informace:

  • Here are the files you asked for, cheers
  • Please explain me this attachment, it confused me..
  • SoSmall, SoCold, SoNice, SoGood, SoWarm..
  • Can you recall what happened at the party last friday?
    I'm having serious problems, i really should stop smoking!
    Maybe the picture files attached will explain it to you...
  • MessageLabs are the first to report of the new Nodoom Internet Worm.
    Please install the patch attached in this email to prevent outbreaks.
  • Is this what where all about?

Attachment o délce 5 kB má tyto názvy souborů:

  • antiserum_1.exe
  • file.txt .exe
  • documents.exe
  • myfiles.exe
  • screensaver.scr
  • patch.exe
  • pics.pif
  • weird.jpg         .zip.exe




Hlavní zprávy

Další z rubriky

Facebook po roce odkrývá, jakým způsobem mohlo Rusko ovlivnit americké...
PŘEHLEDNĚ: Facebook ukázal, jak jej během voleb zneužila ruská propaganda

Rusové si přes stovky prostředníků koupili v roce 2016 ohromné množství reklamy na Facebooku. Cílily na americké voliče v klíčových státech. Reklamy podle...  celý článek

Politici a sociální sítě
Urážky, trapasy i nesmysly: jak čeští politici bojují na sociálních sítích

Předvolební kampaň vrcholí a při rozhodování voličů hraje vliv i to, jak politici vystupují na sociálních sítích. Ne všichni si na nový svět krátkých,...  celý článek

Skleněný most na hoře Yuntai
Infarktový žertík vyděsil turisty na skleněném mostě, kilometr nad zemí

Turisty v čínské provincii Hebei vyděsil žertík provozovatelů skleněného mostu na hoře Yuntai. Ve výšce více než 1 000 metrů nad zemí to musí být hrozivý...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.