Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Sobig: Udeřil další virový červ, navíc s sebou přináší trojského koně

aktualizováno 
Měsíc leden teprve dnes vstoupil do své druhé poloviny a už tu máme v pořadí druhý, velmi nebezpečný vir, označený jako Sobig. Ten se dokáže šířit mezi počítači velkou rychlostí. Pro infikaci dalších PC využívá i lokální firemní sítě.

Druhý letošní počítačový vir na sebe nenechal dlouho čekat. Prakticky vzápětí po útoku Lirvy se objevil další nebezpečný počítačový kód, který je označován jako Sobig. Jde opět o e-mailový červ šířící se po internetu. V lokálních počítačových sítích se dále pokouší o infikaci také pomocí sdílení složek, adresářů či souborů. Asi za jeho nejnebezpečnější akci lze považovat pokusy o stažení souborů z internetových stránek serverů - zejména trojských koní.

Sobig se od pondělního rána začal po celosvětové síti šířit závratnou rychlostí, dle prvních informací se v České republice ještě nestačil usadit. Ovšem co není dnes, může být zítra, o tomto faktu jsme se již několikrát mohli přesvědčit na vlastní kůži. Hrozba nákazy hrozí všem uživatelům operačního systému Windows, proto by si na tento zákeřný virus měli dávat pozor. Přes e-mailový program Outlook dokáže během chvíle infikovat celý počítač.

Po aktivování na pevném disku PC se začne automaticky rozesílat na všechny e-mailové adresy, které nalezne na HDD v souborech typu: .WAB .DBX .HML .HTML .EML .TXT.

Při svém šíření používá v předmětu zprávy jeden z následujících textů:
Re: Here is that sample
Re: Document
Re: Sample
Re: Movies

V příloze samotného emailu je přiložen soubor s označením:
Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif
 

Kapacita souboru je 64,8 kB, adresa odesílatele infikovaného e-mailu je vždy „big@boss.com“. K odesílání využívá Sobig vlastní SMTP (Simple Mail Transport Protocol) engine, který není závislý na nastavení pošty. K aktivaci viru může dojít pouze manuálním způsobem, to znamená podnětem uživatele.

Email pak vypadá takto 

Zdroj: F-Secure

Pokud se tak stane, červ se okamžitě po své aktivaci pokusí o vytvoření kopie svého těla v hlavním adresáři OS Windows pod názvem „winmgm32.exe“. V registrech pro tento soubor vytvoří klíč, kterým zabezpečí start tohoto souboru při každém naběhnutí OS.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsMGM

Pak již začne s rozesíláním sama sebe na emaily nalezené v souborech, které jsme zmiňovali výše. Po dokončení této akce se červ snaží infikovat všechny dostupné sdílené pevné disky v LAN síti. Kopíruje se zejména do adresářů:

Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup

tam vloží své tělo a při příštím spuštění jsou infikovány i tyto PC. A kolotoč infikace začne od začátku.

Posledním úkolem, který má Sobig naprogramován ve své rutině, je snaha o spojení s web serverem Geocites.com. Z tohoto serveru se pokouší stáhnout a následně aktivovat trojského koně Win32/Zasil. Po jeho delší činnosti vznikne v hlavním adresáři OS Windows další soubor, označený jako „dwn.dat“.

V současné době většina antivirových programů s nejnovější virovou databází dokáže tohoto červa odhalit a zničit. Pro ty, kterým se již podařilo červa v operačním systému aktivovat, přikládáme fixační soubor k jeho odstranění.

Antivirus Win32/Sobig: Fix Sobig (16 KB) 

Autor:




Hlavní zprávy

Další z rubriky

Aplikace Uber
Apple nechal Uberu vlastní funkci, která umí nahrávat obrazovku uživatelů

Apple umožnil taxikářské aplikaci Uber kvůli aplikaci pro hodinky iWatch snímat obrazovky mobilních zařízení.   celý článek

Diskové úložiště
Víte v jaké kondici je váš HDD či SSD? Zeptejte se správného programu

Data. Chcete-li je mít jak v peřince, potom jistě pravidelně zálohujete. Můžete se však spolehnout na výdrž samotných diskových úložišť? To prozradí HDD...  celý článek

Ilustrační foto
Uložte si obsah obrazovky na později či pro kamaráda

Zapomeňte na klávesu Print Screen, screenshoty se dnes pořizují zcela jinak – snadněji, automaticky a to třeba včetně celé webové stránky. Perličkou je možnost...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.