Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Soho a DIDer: Viry a neviry...

  5:00aktualizováno  5:00
Čert nikdy nespí a autoři virů také ne! Mezi uživateli tak počátkem roku 2002 vesele koluje trojský kůň DIDer a i-worm Soho. Co všechno dovedou a jak jsou nebezpeční...?

Mnoho uživatelů si vůbec a nebo jen velmi málo uvědomuje nebezpečí, které pro jeho počítačový systém může znamenat napadení trojským koněm, tj. programovým kódem umožňujícím odesílání citlivých informací z napadeného počítače a jeho případné otevření dalším, mnohdy ničivějším útokům. Trojský kůň DIDer spatřil světlo světa již v závěru minulého roku. Původně byl vyvinut divizí NetUProfits společnosti Strategic Advertising Services, a to jako součást on-line loterijní hry ClickTillUWin. Zde měl za úkol sledovat účinnost zobrazované reklamy. Ačkoliv se nejedná o virus v pravém smyslu slova a nebezpečnost se zatím nezdá býti příliš vysoká, je třeba míti se napozoru. Tento trojský kůň je obsažen v klientech výměnných systémů Grokster, Limewire Gnutella, KaZaA a také v některých dalších aplikacích.

Trojského koně DIDer tvoří dvě komponenty. Jeho hlavní částí je soubor Explorer.exe, který je uložen do podadresáře Windows\Explorer\. Hlavní komponenta je stahována a upgradována pomocí druhé utility, která je obsažena v souboru DlDer.exe, uložené v hlavním adresáři Windows. Když je soubor DlDer.exe po instalaci všech součástí softwaru, se kterým je distribuován, spuštěn, stáhne z webu soubor Explorer.exe a uloží jej do výše zmíněného podadresáře. Následně vytvoří v systémových registrech klíč, který zajistí jeho spuštění při startu systému. Při příštím startu systému je Explorer.exe aktivován a vytvoří podobný klíč v registrech pro soubor DIDer.exe - tyto komponenty se aktivují navzájem. Poté se připojí na server 2001-007.com, kam předává informace o uživatelově ID, IP adrese, internetovém prohlížeči a webech, které navštěvuje. Nelze však vyloučit skutečnost, že může v systému otevírat potenciálně zneužitelnou bezpečnostní díru. Činnosti tohoto trojského koně lze zabránit poměrně snadno - lze jej ze systému odstranit jednoduchým vymazáním jeho uvedených komponent a provedením restartu systému.

Zhruba ve stejném čase jako trojský kůň DIDer se objevil na internetu nový virus typu I-Worm – Soho, který antivirové programy detekují také jako I-Worm.Welyah, W32.Shoho@MM, W32/Welyah.A@mm nebo W32/Shoho@MM. Shoho je klasický e-mailový červ, který se šíří v příloze infikované zprávy elektronické pošty. Z nakaženého počítače odesílá nebo maže některé soubory. Červ je soubor typu PE EXE o velikosti asi 108 kB, napsaný ve Visual Basicu a jeho kód není komprimován ani šifrován. Infikovaný e-mail je v HTML formátu a využívá bezpečnostní díru, která dovoluje na „nezáplatovaném“ systému spustit nebezpečný kód již při pouhém otevření zprávy. Pokud je červ spuštěn, zkopíruje do systémového adresáře Windows soubor WINL0G0N.EXE a vytvoří následující položky v systémových registrech:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run WINL0G0N.EXE = \WINL0G0N.EXE HKLM\Software\Microsoft\Windows\CurrentVersion\Run WINL0G0N.EXE = \WINL0G0N.EXE

K rozesílání používá přímého napojení na SMTP server, který zjistí ze systémového registru, nebo použije svůj vlastní – tj. 210.177.111.18. E-mailové adresy červ získá ze souborů typu: .eml, .wab, .dbx, .mbx, .xls, .xlt, .mdb. Rozesílaná zpráva elektronické pošty obsahuje následující údaje:

Předmět: Welcome to Yahoo! Mail
Text: Welcome to Yahoo! Mail
Příloha: readme.txt .pif

Červ ukládá e-mailové adresy, na které se odeslal, do souboru emailinfo.txt a svůj kód uchovává v souboru email.txt. Pokud na lokálním disku najde soubory tree.dat, smdata.dat, hosts.dat nebo sm.dat, odešle je na FTP server ftphd.pchome.com.tw, a to uživatelům „shit0918“, „shit530“, „shiu58“, „shoho2“ a „shoo2206“. Pozor – tento červ disponuje destrukční rutinou, která maže všechny soubory v aktuálním adresáři a po restartu i v adresáři Windows.





Hlavní zprávy

Další z rubriky

Google.cz na své domovské stránce připomíná voličům, kde si vyřídit volební...
Český Google zve na domovské stránce k volbám. Radí, jak vyřídit průkaz

Na domovské stránce vyhledávače Google se objevil prominentní odkaz na informace ministerstva vnitra. Návštěvníci se tak dozvědí, jak volit, pokud budou v době...  celý článek

Aplikace nahradí zapomenutou myš.
Aplikace pro tablety: náhrada myši či bezpečné připojení k wi-fi

V dnešním výběru aplikací poradíme, jak nahradit zapomenutou počítačovou myš, jak se bezpečně připojit i k volné wi-fi síti, jak dostat stejný e-mailový klient...  celý článek

Chraňte včas své elektronické zařízení.
Chraňte svůj tablet před viry a hackery a za odměnu si zahrajte

Bezpečnostní rizika dnes číhají i na majitele mobilních zařízení, takže jsme do dnešního přehledu zařadili i antivirovou aplikaci, která se postará i o ochranu...  celý článek

Grafton Recruitment Praha
INŽENÝR KVALITY (Plzeň)

Grafton Recruitment Praha
Plzeňský kraj
nabízený plat: 40 000 - 45 000 Kč

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.