Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Dumaru Y a Z – virus, který vás špehuje

aktualizováno 
Některé viry proletí schránkami nedostatečně chráněných uživatelů, částečně zahltí internetovou síť a možná odnesou pár e-mailových adres do spammerských databází. Jiné jsou však mnohem zákeřnější. Mezi ně patří i viry Dumaru.
Zdá se, že tvůrci virů ukončili svou zimní dovolenou a s plnou vervou se pustili do vytváření dalších variant těchto více či méně nebezpečných prográmků. Nové víkendové přírůstky poměrně čile se šířících virů jsou toho jen důkazem. Novinky pocházejí z rodiny Dumaru a jsou označovány jako Y a Z.

Zavirovaný e-mail, který obsahuje jednu z těchto variant viru, má v hlavičce odesílatele následující text :

"Elene" <F**KENSUICIDE@HOTMAIL.COM> (censored)

a jako předmět zprávy je v obou případech text:

Important information for you. Read it immediately ! J

Už tyto indicie by měly stačit k tomu, abyste příchozí e-mail smazali.

Při otevření této zavirované zprávy si může uživatel přečíst následující poselství:

Hi ! Here is my photo, that you asked for yesterday.

Součástí tohoto e-mailu je i příloha myphoto.zip, která má velikost 17 kB. V případě rozbalení tohoto kompilátu uvidí uživatel soubor myphoto.jpg. To je však jen zástěrka pro spustitelný soubor myphoto.jpg.exe. Mezi .jpg a .exe je totiž téměř šedesátiznaková mezera.

Jak Dumaru pracuje?

V případě, že je kód viru spuštěn, začne prohledávat soubory s těmito příponami: ABD, DBX, HTM, HTML, TBB a WAB.

Z nich získává e-mailové adresy, které si ukládá do souboru Winload.log v adresáři Windir. Na tyto adresy se pak rozesílá.

Zároveň se tělo červa nakopíruje do adresáře Systems, kde se uhnízdí pod názvy l32x.exe, vxd32v.exe, dllxw.exe. U systémů Win95 - WinMe, je umístění adresáře následující: C:\Windows\System. Operační systém Windows NT a 2000, pak tuto složku ukrývá na tomto místě: C:\Winnt\System32 a nakonec Windows XP s umístěním v adresáře zde: C:\Winnt\System32.

Aby se mohl červ spustit po každém restartování počítače, tak uloží odkaz na l32x.exe do systémového registru HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run. V OS Windows 95/98/Me ještě upraví soubor system.ini, případně vytvoří klíč registru HKEY_LOCAL_MACHINE\SOFTWARE\SARS.

Vedle toho má některé další funkce, které může využít. Jednou z nich je testování připojení k internetu, pokud počítač není v případě potřeby viru připojen. To probíhá dvakrát za sekundu. Může také fungovat jako trojský kůň, když připravuje přístup k počítači útočníkovi, který využije TCP portů 1000 a 2283, které mu Dumar otevře. K tomu ale nejdříve potřebuje přístup na následující adresy http://youand<BLOCKED>edlove.com/load.exe a http://gold<BLOCKED> ting.com@%79o%75%61n%64menee%64%6co%76e.com/load.php, odkud si stáhne komponentu BKDR_IROFFER12.B.

Tento vir také zvládne pracovat jako špión, neboť ukládá data, která získá ze schránky, ale především monitoruje stisky kláves, takže má poměrně vysokou šanci, že odchytí vámi zadávané heslo. Takto nahrané stisky kláves ukládá do souboru vxdload.log a obsah schránky do rundllx.sys. Speciálně se přitom zaměřuje na webové formuláře na adrese www.e-gold.com.V případě, že velikost souborů překročí určitou hranici, pokusí se je odeslat na předem určené adresy.

Zákeřný vir

Jak je patrno z předchozích řádků, je vir, pokud se dostane do počítače, opravdu nebezpečný. Nejenže umožní přístup na napadený počítač útočníkovi, navíc monitoruje obsah schránky a ukládá jednotlivé stisky kláves, které uživatel používá při práci s počítačem. Může tak získat i mnohá hesla. O tom, že ani způsob šíření viru není radno podceňovat, svědčí aktuální virová statistika deseti nejrozšířenějších virů na serveru Messagelabs.com, kde si Dumar vede více než dobře. V každém případě si aktualizujte svůj antivirový program, pokud jste tak ještě neučinili.



Nejčtenější

„Tak mě zastřel!“ vykřikl ruský voják a zavraždil šestnáctiletého kluka

Vražedná zbraň. Touto pistolí Stečkin APS zastřelil opilý ruský voják Rudněv v...

„Teď v Československu platí sovětské zákony,“ řekl ruský generál vyšetřovatel Veřejné bezpečnosti, když pátrali po...

Zabil je výbuch ruského tanku v centru Prahy. KSČ ničila životy pozůstalým

Tanky typové řady T-54/55, ten blíž k fotografovi evidentně neschopný pohybu,...

Zatímco na pražské Vinohradské třídě hořel a vybuchoval tank, zmatení ruští vojáci na Václavském náměstí zahájili palbu...



Tento pancíř dá tankistům pocit bezpečí a jistoty. Ale bude to stačit?

SMART PROTech na tanku Leopard 2

Německá firma IBD Deisenroth Engineering (IBD) představila prototyp balistické ochrany SMART PROTech pro obrněná...

Úspěšný start. Sonda míří ke Slunci tak blízko, jako žádná předtím

Úspěšný start rakety Delta IV Heavy 12.8.2018 v 9:31 se sondou Parker Solar...

V neděli ráno se ke Slunci vydala unikátní sonda Parker Solar Probe. Měla by se přiblížit k naší hvězdě podstatně blíže...

Horký nápoj vás ve vedru ochladí lépe, zjistili vědci. Ale má to háček

Horký nápoj v horkém létě?

Biologie lidského těla někdy funguje přesně naopak, než by člověk čekal. Příkladem je pití horkých nápojů v létě. Zní...

Další z rubriky

Microsoft dokončil práci na tmavém módu Windows 10

Temný mód Průzkumníka souborů ve Windows 10.

Nová testovací verze Windows 10 přináší další rozšíření takzvaného tmavého módu (Dark mode), který může zpříjemnit...

Vyřešit problémy s Windows pomůže opravář registru

Ilustrační foto

Dochází-li Windows dech, můžete zkusit spustit jeden z dostupných čističů systémového registru. Ten najde neplatné...

Co není pro každého. Jak udělat vybrané soubory neviditelnými

Ilustrační foto - počítač

Schovat ve Windows data tak, aby nebyla viditelná, je otázkou chvilky. Stačí vám k tomu jen správný program. Vyberte si.

Najdete na iDNES.cz