Červ W32.Myparty@mm: V poslední době nejrychleji se šířící virus

Od neděle se po internetu závratnou rychlostí začal šířit nový přírůstek na virové scéně; Červ Myparty nese vysoké riziko a během včerejšího dne se dostal i do Česka. Vir se sice aktivuje pouze v určité dny, jedná se však již o druhou mutaci červa a další budou zřejmě také.

V sobotu se internetem začal rychlostí blesku šířit červ, který se po pondělním nástupu internetových uživatelů do práce dostal ve větší míře i do Česka. Zpráva, kterou červ W32.Myparty@mm rozesílá, nese tento obsah:

Předmět: New photos from my party!

Tělo zprávy: Hello! My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!

Jako příloha v tomto případě slouží link na stránky ww.myparty.yahoo.com. Vtip je ovšem v tom, že koncovka *.COM v tomto případě spustí přílohu, jež aktivuje samotný vir. Červ se ovšem aktivuje "pouze" mezi 25. a 29. lednem. Má-li někdo na počítači aktivováno ruské jazykové prostředí (kolik z nás takových je?), k aktivaci nedochází. Původ viru je tedy jasný, proč nakazit vlastence. Údajná předchozí varianta viru umožňovala spouštět soubor mezi 20. a 24. lednem. Podle antivirových odborníků se zřejmě nejedná o poslední verzi viru, a tak lze v brzké době očekávat ještě další jeho mutace.

Po kliknutí na přílohu se vir automaticky zapíše do registrů počítače (regctrl.exe na operačních systémech W2K, NT či XP), nebo recycled\regctrl.exe na W98 či ME a rozešle se pomocí vlastního SMTP rozhraní na všechny nalezené adresy v kontakt listu.W32.Myparty@mm Poté se červ odesílá ještě na adresu napster@gala.net. Tím autor bude nejspíš sledovat četnost viru.

Červ W32.Myparty@mm nese riziko nákazy jako HIGH a během včerejšího dne se pár kousků objevilo také v redakci Technetu, nejedná se tedy o žádný planý poplach, ale na místě by měla být maximální obezřetnost uživatelů či administrátorů.

Během včerejšího dne byla českými antivirovými firmami vydána mimořádná aktualizace, která již červ detekuje. Zahraniční antiviry worm rozpoznají již od neděle.

 

Dalším virem, který se v posledních dnech objevil, avšak možnost nákazy se ukazuje jako minimální, je W32/Alcop. Tento virus se šíří v hromadně rozesílané zprávě elektronické pošty, obsahující připojený soubor tvářící se jako pornografický spořič obrazovky. Zpráva, kterou virus rozesílá, obsahuje následující informace:

Předmět: Porno still sells
Tělo zprávy: Here's a screen saver containing a nude image of Aria Giovanni... For your viewing pleasure.
Příloha: porno.scr

alcop 

Po spuštění připojeného souboru se otevře okno s titulkem „For your viewing pleasure...“ a virus začne distribuovat na adresy elektronické pošty, které nalezne v adresáři aplikace Microsoft Outlook. Zároveň se kopíruje do hlavního adresáře jako soubor porno.scr a provede následující záznam do registrů:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\by pornoman=c:\porno.scr

Virus sám o sobě nepůsobí žádné větší škody. I v případě, že výrobce vašeho antivirového programu ještě nemá W32/Alcop zanesen do virových definičních souborů, měla by jej odhalit heuristická analýza.

,