Společnost MessageLabs, která se zabývá bezpečností e-mailové komunikace a již jsme mnohokrát zmiňovali v souvislosti s červem MyDoom, objevila další možnou hrozbu. Její štítová aplikace Skeptic zachytila dosud neznámý virus NoDoom, který podle heuristické analýzy připravuje další DoS útok - zahlcení internetových serverů hromadnými požadavky.
MessageLabs již ohledně nového červa kontaktovala všechny hlavní poskytovatele antivirových řešení. Ti by měli být schopní připravit účinnou obranu přibližně do 12 hodin. Ačkoliv tak učinila již 16. února, stránky antivirových společností dosud o NoDoomu mlčí.
Červ mnoha tváří
Skenovací engine Skeptic odchytil zatím kolem 800 exemplářů červa NoDoom v systémech klientů MessageLabs. Jeho masové šíření nebylo dosud zaznamenáno, podle mluvčího společnosti je to však jen otázkou času. NoDoom na sebe totiž na rozdíl od MyDooma bere několik podob: Jednou se tváří jako blahopřání k narozeninám, podruhé zase zmatený dopis od kamaráda, který si z předchozího bujarého večera nic nepamatuje. Největší nebezpečí znamená v případě, kdy varuje před sebou samým.
Tento postup už tvůrci počítačových virů jednou zvolili, a to u německého červa Sober. NoDoom experty překvapil především tím, že zneužívá renomé MessageLabs a jejím jménem upozorňuje uživatele před svou existencí. V příloze pochopitelně neobsahuje bezpečnostní záplatu, ale nebezpečný kód.
Pod lupou
Kód má délku 5 568 bytů a je zakomprimován packerem FSG. Podrobnou analýzou odborníci zjistili, že NoDoom obsahuje vlastní SMTP rutinu pro odesílání pošty, jejímž prostřednictvím se šíří dál. Adresy příjemců si nevybírá jen z databází e-mailových klientů, ale prohledává různé typy souborů na všech připojených discích: .DBX, .EML, .HTM, .HTML, .MBX, .MMF, .NCH, .OCS, .TBB a .TXT. Stejným způsobem falšuje také adresu odesílatele.
Červ se po spuštění nakopíruje do systémového adresáře jako \system32\ctsls.exe a do registrů vloží příkaz ke spuštění po každém restartu počítače. Například:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "Ctsls" = C:\WINNT\System32\ctsls.exe
Pokouší se také rozmístit do sdílených adresářů P2P aplikací, jejichž názvy obsahují "Share" či "Sharing". Dále obsahuje seznam doménových jmen spojených s undernet.org a některé části kódu slouží ke komunikaci se servery IRC. To ukazuje na to, že červ může přes IRC přijímat příkazy od svých tvůrců a připravovat se na útok proti uvedeným serverům.
Jak poznat NoDooma?
Předmět infikované zprávy může obsahovat následující formulace:
- Happy Birthday
- I can't recall what happened but..
- I don't understand..
- Is this the Smallest C++ MassMailer???
- Shit happens...
- SoBig SoSmall
- Virus Alert: W32.Nodoom.A@mm
V těle mailu jsou uvedeny tyto informace:
- Here are the files you asked for, cheers
- Please explain me this attachment, it confused me..
- SoSmall, SoCold, SoNice, SoGood, SoWarm..
- Can you recall what happened at the party last friday?
I'm having serious problems, i really should stop smoking!
Maybe the picture files attached will explain it to you... - MessageLabs are the first to report of the new Nodoom Internet Worm.
Please install the patch attached in this email to prevent outbreaks. - Is this what where all about?
Attachment o délce 5 kB má tyto názvy souborů:
- antiserum_1.exe
- file.txt .exe
- documents.exe
- myfiles.exe
- screensaver.scr
- patch.exe
- pics.pif
- weird.jpg .zip.exe
