Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Velká virová hrozba Mydoom.O

  8:20aktualizováno  8:20
Jeden z kdysi nejrychleji se šířících virů se vrátil v nové podobě a znovu patří k těm, které se rozhodně nevyplatí podceňovat. Dokáže si prostřednictvím vyhledávačů zjišťovat nové adresy a nechává v systému otevřená zadní vrátka do vašeho počítače.
Po celém světě od Asie přes Spojené státy až například po Německo se nyní šíří nová verze počítačového viru Mydoom.O, který některé bezpečnostní firmy nazývají také Mydoom.M.

Vir je specifický tím, že vedle klasického získávání adres v napadeném počítači, testuje také prostřednictvím vyhledávacích služeb http://search.lycos.com, http://www.altavista.com, http://search.yahoo.com a http://www.google.com, zda se v objevené doméně nevyskytují i další schránky. Z toho se dá usuzovat, že vir může sloužit i jako sběratel adres pro rozesílání spamu.

Mezi jeho další specifika náleží fakt, že nevyužívá několik předem připravených textů e-mailu, ale výsledný obsah je kombinací množství různých variant, které má vir k dispozici. Vir v e-mailu a příloze hojně využívá různé domény a jména, která objeví na napadeném počítači, aby se tvářil co nejdůvěryhodněji a donutil tak uživatele k otevření zavirované přílohy.

Mydoom.O v napadeném systému nechává otevřená vrátka na portu 1034, kde čeká na případné instrukce.

Jak vir poznáte?

Jméno odesílatele e-mailu je podvrženo z adres, které Mydoom.O objeví v napadeném počítači. V předmětu e-mailu vir využívá některý z následujících textů:


click me baby, one more time
delivery failed
Delivery reports about your e-mail
error
hello
hi error
Mail System Error - Returned Mail
Message could not be delivered
report
Returned mail: Data format error
Returned mail: see transcript for details
say helo to my litl friend
status
test
The original message was included as attachment
The/Your m/Message could not be delivered

 

Jak již bylo naznačeno, text zprávy vychází z kombinace několika variant, do kterých je zakomponována doména či jméno příjemce nebo odesílatele, které vir doplňuje podle adresy, na níž se zaslal. Vir také v jedné variantě textu využívá adresu poštovního serveru, který používá napadený počítač, z něhož byl zavirovaný e-mail odeslán. Podle společnosti Symantec tak některé výsledné texty vycházejí z následujících variant:

Pozn: Ve složených závorkách jsou zobrazeny možné varianty doplňovaného textu, které jsou odděleny svislým znakem „|“.

Dear user {|of },{ {{M|m}ail {system|server} administrator|administration} of would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
{We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
{We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
{Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
{{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
{ {user |technical |}support team.|The {support |}team.}

{The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
Your message {was not|could not be} delivered because the destination {computer|server} was {not |un}reachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.

Your message {was not|could not be} delivered within days:
{{{Mail s|S}erver}|Host} } is not responding.
The following recipients {did|could} not receive this message:
<>
Please reply to postmaster@{|}
if you feel this message to be in error.
The original message was received at [current time]{
| }from { ]|{]|]}}
----- The following addresses had permanent fatal errors -----
{<>|}
{----- Transcript of {the ||}session follows -----
... while talking to {host |{mail |}server ||||}{.|]}:
{>>> MAIL F{rom|ROM}:[From address of mail]
<<< 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <>... {Mail quota exceeded|Message is too
large}
554 <>... Service unavailable|550 5.1.2 <>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
Session aborted{, reason: lost connection|}|>>> RCPT To:<>
<<< 550 {MAILBOX NOT FOUND|5.1.1 <>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
{<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
|}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed
|}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
|}<<< 400}|}
The original message was included as attachment

{{The|Your} m|M}essage could not be delivered

Samotná příloha se zavirovaným obsahem čerpá svůj název z domény, kterou objeví na napadeném počítači. To může být značně nebezpečné, neboť záměna komerční domény .com a spustitelné přípony *.com není v tomto případě samozřejmě patrná. Příloha také v některých případech využívá slov z následujícího seznamu:

attachment
document
file
instruction
letter
mail
message
readme
text
transcript

Pokud tedy na základě předchozích indicií získáte podezření, že vám přišel tento vir, bez váhání jej smažte. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se i při vší oparnosti však již neobejdete.

Jak se bránit? Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.





Hlavní zprávy

Další z rubriky

Notebook
Stáhněte si zdarma: Vdechněte právě pořízeným fotografiím retro vzhled

Jako kdyby byly pořízeny Polaroidem a před dávnou dobou. Přitom jsou to fotografie zcela nové. Chcete-li i vy takové vytvářet, použijte program XnRetro....  celý článek

První nativní 4K UHD Blu-ray na českém trhu.
Ochrana 4K Ultra HD Blu-ray podlehla. Nový program ji dokáže odstranit

Ochrana označovaná jako AACS 2.0 byla prolomena a už se objevil i program, který ji dokáže obejít a stáhnout video z 4K Blu-ray disků.  celý článek

Adobe Flash
Adobe varuje před novou chybou. Aktualizujte si Flash

Společnost Adobe opravila jednu chybu, která umožnila napadnout počítač přes upravený dokument.  celý článek

Utýrala holčičku v pěstounské péči. Musíme teď zpřísnit zákony?
Utýrala holčičku v pěstounské péči. Musíme teď zpřísnit zákony?

Tragický případ z minulého týdne nejspíš pohne českými zákony o pěstounské péči.

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.