Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


NoDoom teprve přijde, ale Bagle.B už je tady a má se k světu

  8:25aktualizováno  8:25
NoDoom je hrozba, která se teprve postupně rozvíjí, ale nové a naprosto reálné nebezpečí již je na světě. Červ Bagle či chcete-li Beagle, který letošní pozdvižení kolem počítačových virů rozpoutal, dostal bratříčka.

NoDoom je hrozba, která se teprve postupně rozvíjí, ale nové a naprosto reálné nebezpečí již je na světě. Červ Bagle či chcete-li Beagle, který letošní pozdvižení kolem počítačových virů rozpoutal, dostal bratříčka.

Raketový start

Bagle.B přišel patrně z Polska, kde byl poprvé zaznamenán v úterý odpoledne. Červ, šířící se elektronickou poštou, zasáhl zejména evropské uživatele, jeho aktivity za oceánem čítají zatím necelých 20 % z jeho celkového rozšíření. Za půl dne již MessageLabs hlásí přes 80 tisíc výskytů a bude mnohem hůř: Bagle.B je obsažen v každé šestnácté e-mailové zprávě a tento podíl se má ještě zvyšovat. Momentálně je po dožívajícím NoDoomu druhým nejaktivnějším virem.

Antivirové společnosti zareagovaly velmi rychle a samostatné utility pro odstranění nákazy nabízejí například Symantec, McAfee či F-Secure nebo Avast!. K dispozici jsou samozřejmě aktualizované antivirové definice. Právě od finské F-Secure si Bagle.B vysloužil Alert Level 1, tedy nejvyšší stupeň nebezpečí. To by mělo pominout 25. února, červ oslaví vítězství pracujícího lidu deaktivací sebe sama.

Statistika Bagle.b ze středečního rána (c) MessageLabs

Jak ho poznáte?

Struktura Bagle.B je tak nápadná a do očí bijící, že je opravdu s podivem, kolik naivních uživatelů je stále schopno takový mail nejen okamžitě nesmazat, ale ještě spustit jeho přílohu.

Předmět zprávy zní:
ID (náhodné znaky) ...thanks.
V těle je uvedeno:
Yours ID (změť znaků)
- -
Thank

Název přílohy opět tvoří náhodný řetězec a přípona EXE.

Bagle.B se po otevření přílohy nakopíruje do systémového adresáře jako au.exe a do registrů přidá klíč, který zajistí jeho spuštění při každém restartu Windows. Do registru HKEY_CURRENT_USER\SOFTWARE\Windows2000 přidává ještě další dvě hodnoty: "frn" = "0x00000001" nebo "frn" = "0x00000000" a "gid" = "".

Bagle otevírá na portu 8866 zadní vrátka, jimiž mohou být do počítače nahrány a spuštěny třetí programy. Dále posílá každých 10 000 sekund žádost HTTP GET přes TCP na tyto webové adresy:
www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php


Příkaz GET obsahuje číslo portu, na němž infikovaný počítač "naslouchá", jeho IP adresu a identifikační číslo s klíče "gid".

Červ se šíří pomocí vlastní SMTP rutiny pro odchozí poštu. Adresy odesílatelů samozřejmě falšuje, stejně jako adresáty je vykrádá ze souborů .wab, .txt, .htm a .html. Nikdy se však neodesílá na adresy, které obsahují výrazy @hotmail.com, @msn.com, @microsoft, @avp.





Hlavní zprávy

Další z rubriky

Skleněný most na hoře Yuntai
Infarktový žertík vyděsil turisty na skleněném mostě, kilometr nad zemí

Turisty v čínské provincii Hebei vyděsil žertík provozovatelů skleněného mostu na hoře Yuntai. Ve výšce více než 1 000 metrů nad zemí to musí být hrozivý...  celý článek

KRACK: Key Reinstallation Attacks
Nepříjemné překvapení: I vaše wi-fi je zranitelná, odhalili experti

Bezpečnostní odborníci varují: zabezpečení bezdrátového připojení wi-fi pomocí WPA2 nelze považovat za bezpečné. Výzkumníci upozorňují, že zranitelností...  celý článek

FarmaNaDlani.cz
Tipy na zajímavé weby: Kde nakoupit na farmách, ukáže interaktivní mapa

Čím dál víc lidí zajímá, kde se dá nakupovat lokálně a ne od velkovýrobců či zahraniční produkty. Pěstitele a výrobce snadno najdete na mapě FarmaNaDlani.cz....  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.