Přibližně po roce po svém prvním výrazném úspěchu se znovu přihlásil o pozornost virus Mydoom. Minulý rok se jednalo o jeden z nejrychleji se šířících virů, který se ozval ještě v létě a na podzim.
Současná varianta již také bohužel nachytala množství uživatelů především ve Spojených státech a Asii. Avšak podle posledních zpráv nezůstává mimo ani Evropa.
Vir využívá adresy získané na napadeném počítači a další se pokouší najít pomocí vyhledávacích serverů. Zde používá domény ze získaných adres, aby zjistil další e-maily.
Samotný vir se při spuštění uloží do adresáře Windows pod názvem Java.exe a zároveň si úpravou registrů zajistí, aby se spustil při každém zapnutí počítače.
Jak vir poznáte?
I když vir falšuje adresu odesílatele, používá v některých případech následující padělané adresy:
První jistější identifikační indicií, je tedy až text v předmětu zprávy. Ten může obsahovat adresu příjemce nebo má některou z následujících podob:
Samotné tělo zprávy je pak podle společnosti TrendMicro vytvořeno kombinací různých nabídek ve zhruba 11 částech předpřipraveného textu. V každém z nich se totiž nachází několik možností, které může vir při vytváření zprávy použít. Těchto 11 textů má následující podobu:
Přiložený soubor, je buď generován za pomoci adres, které vir získá nebo je vytvořen z následujících slov :
Ty jsou doplněny o některou z těchto koncovek:
Další akce viru
Po napadení počítače čeká vir na případné povely na TCP portu 1034, který si za tímto účelem otevře.
Vir se také pokouší stáhnout z internetu jeden program, který se v počítači usídlí pod názvem DX32CXLP. V napadeném počítači pak čeká na příkazy zaslané prostřednictvím Internet Relay Chat (IRC) serverů, kam se přihlašuje. Tento zákeřný kód se dále pokouší zamezit přístupu počítače na servery antivirových a dalších bezpečnostních společností .
| "Postmaster" "Mail Administrator" "Automatic Email Delivery Software" "Post Office" "The Post Office" "Bounced mail" "Returned mail" "MAILER-DAEMON" "Mail Delivery Subsystem" |
| hello hi error status test report delivery failed Message could not be delivered Mail System Error - Returned Mail Delivery reports about your e-mail Returned mail: see transcript for details Returned mail: Data format error The original message was included as attachment The/Your m/Message could not be delivered |
|
{We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week. {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server. {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe. {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day}, { doména příjemce {user |technical |}support team.|The doména příjemce {support |}team.}
Your message {was not|could not be} delivered because the destination {computer|server} was{not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
{{{Mail s|S}erver}|Host} is not responding. The following recipients {did|could} not receive this message: {[[adresa příjemce]]|[ adresa příjemce]} {----- Transcript of {the ||}session follows ----- ... while talking to {host |{mail |}server ||||}{[ doména příjemce]}: {]]] MAIL F{rom|ROM}:[From address of mail] [[[ 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 [[adresa příjemce]]... {Mail quota exceeded|Message is too large} 554 [[adresa příjemce]]... Service unavailable|550 5.1.2 [[adresa příjemce]]... Host unknown (Name server: host not found)|554 {5.0.0|}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|} Session aborted{, reason: lost connection|}|]]] RCPT To:[[ adresa příjemce]] [[[ 550 {MAILBOX NOT FOUND|5.1.1 [[adresa příjemce]]... {User unknown|Invalid recipient|Not known here}}|]]] DATA {[[[ 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output |} {[[[ 400-aturner; -RMS-E-CRE, ACP file create failed |} {[[[ 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded |}[[[ 400}|} The original message was included as an attachment. {{The|Your} m|M}essage could not be delivered |
Ve výsledku pak může zpráva vypadat například takto:
|
Dear user technet@technet.cz, Your e-mail account was used to send a huge amount of unsolicited e-mail messages during the recent week. Most likely your computer had been infected by a recent virus and now runs a hidden proxy server. Please follow our instruction in the attached file in order to keep your computer safe. Virtually yours, The technet.cz support team. |
| ATTACHMENT DOCUMENT FILE INSTRUCTION LETTER MESSAGE README TEXT TRANSCRIPT |
| .bat .cmd .com .exe .pif .scr .zip |
Opatrnost je na místě
Antivirové společnosti tento vir analyzují a v případě, že budou aktualizovat informace o tomto viru, dozvíte se to i vy.
Nezapomeňte si do svého antivirového programu stáhnout aktuální virovou databázi, která by již měla na tento vir reagovat a dbejte zvýšené opatrnosti. Jak bojovat s virovou nákazou se můžete dozvědět z našeho speciálu o virech.
