Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Vir Mydoom se vrací. Mějte se na pozoru

aktualizováno 
Jeden z nejvíce se šířících virů minulého roku dostal novou podobu, které se bohužel také docela dobře daří. Mydoom.BB, ale také Mydoom.AX či Mydoom.AU používá různé triky, jak se dostat do všeho PC.
Přibližně po roce po svém prvním výrazném úspěchu se znovu přihlásil o pozornost virus Mydoom. Minulý rok se jednalo o jeden z nejrychleji se šířících virů, který se ozval ještě v létě a na podzim.

Současná varianta již také bohužel nachytala množství uživatelů především ve Spojených státech a Asii. Avšak podle posledních zpráv nezůstává mimo ani Evropa.

Vir využívá adresy získané na napadeném počítači a další se pokouší najít pomocí vyhledávacích serverů. Zde používá domény ze získaných adres, aby zjistil další e-maily.

Samotný vir se při spuštění uloží do adresáře Windows pod názvem Java.exe a zároveň si úpravou registrů zajistí, aby se spustil při každém zapnutí počítače.

Jak vir poznáte?

I když vir falšuje adresu odesílatele, používá v některých případech následující padělané adresy:

"Postmaster"
"Mail Administrator"
"Automatic Email Delivery Software"
"Post Office"
"The Post Office"
"Bounced mail"
"Returned mail"
"MAILER-DAEMON"
"Mail Delivery Subsystem"

První jistější identifikační indicií, je tedy až text v předmětu zprávy. Ten může obsahovat adresu příjemce nebo má některou z následujících podob:

hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
The original message was included as attachment
The/Your m/Message could not be delivered

Samotné tělo zprávy je pak podle společnosti TrendMicro vytvořeno kombinací různých nabídek ve zhruba 11 částech předpřipraveného textu. V každém z nich se totiž nachází několik možností, které může vir při vytváření zprávy použít. Těchto 11 textů má následující podobu:

  • Dear user {adresa příjemce|of doména příjemce},{ {{M|m}ail {system|server} administrator|administration} of doména příjemce would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
    {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
    {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
    {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
    {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
    { doména příjemce {user |technical |}support team.|The doména příjemce {support |}team.}
  •  

  • {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
    Your message {was not|could not be} delivered because the destination {computer|server} was{not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters.
    Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
  •  

  • Your message {was not|could not be} delivered within /náhodně vybrané číslo/ days:
    {{{Mail s|S}erver}|Host} is not responding.
    The following recipients {did|could} not receive this message: Please reply to postmaster@{ doména odeílatele| adresa příjemce} if you feel this message to be in error. The original message was received at /aktuální čas/{ | }from {doména odesílatele}} ----- The following addresses had permanent fatal errors -----
    {[[adresa příjemce]]|[ adresa příjemce]}
    {----- Transcript of {the ||}session follows -----
    ... while talking to {host |{mail |}server ||||}{[ doména příjemce]}:
    {]]] MAIL F{rom|ROM}:[From address of mail]
    [[[ 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 [[adresa příjemce]]... {Mail quota exceeded|Message is too large}
    554 [[adresa příjemce]]... Service unavailable|550 5.1.2 [[adresa příjemce]]... Host unknown (Name server: host not found)|554 {5.0.0|}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
    Session aborted{, reason: lost connection|}|]]] RCPT To:[[ adresa příjemce]]
    [[[ 550 {MAILBOX NOT FOUND|5.1.1 [[adresa příjemce]]... {User unknown|Invalid recipient|Not known here}}|]]] DATA
    {[[[ 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output |}
    {[[[ 400-aturner; -RMS-E-CRE, ACP file create failed |}
    {[[[ 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded |}[[[ 400}|}
    The original message was included as an attachment.
    {{The|Your} m|M}essage could not be delivered
  • Ve výsledku pak může zpráva vypadat například takto:

    Dear user technet@technet.cz,

    Your e-mail account was used to send a huge amount of unsolicited e-mail messages during the recent week. Most likely your computer had been infected by a recent virus and now runs a hidden proxy server. Please follow our instruction in the attached file in order to keep your computer safe.

    Virtually yours,

    The technet.cz support team.

    Přiložený soubor, je buď generován za pomoci adres, které vir získá nebo je vytvořen z následujících slov :

    ATTACHMENT
    DOCUMENT
    FILE
    INSTRUCTION
    LETTER
    MAIL
    MESSAGE
    README
    TEXT
    TRANSCRIPT

    Ty jsou doplněny o některou z těchto koncovek:

    .bat
    .cmd
    .com
    .exe
    .pif
    .scr
    .zip

    Další akce viru

    Po napadení počítače čeká vir na případné povely na TCP portu 1034, který si za tímto účelem otevře.

    Vir se také pokouší stáhnout z internetu jeden program, který se v počítači usídlí pod názvem DX32CXLP. V napadeném počítači pak čeká na příkazy zaslané prostřednictvím Internet Relay Chat (IRC) serverů, kam se přihlašuje. Tento zákeřný kód se dále pokouší zamezit přístupu počítače na servery antivirových a dalších bezpečnostních společností .

    Opatrnost je na místě

    Antivirové společnosti tento vir analyzují a v případě, že budou aktualizovat informace o tomto viru, dozvíte se to i vy.

    Nezapomeňte si do svého antivirového programu stáhnout aktuální virovou databázi, která by již měla na tento vir reagovat a dbejte zvýšené opatrnosti. Jak bojovat s virovou nákazou se můžete dozvědět z našeho speciálu o virech.





    Hlavní zprávy

    Další z rubriky

    Notebook
    Stáhněte si zdarma: Vdechněte právě pořízeným fotografiím retro vzhled

    Jako kdyby byly pořízeny Polaroidem a před dávnou dobou. Přitom jsou to fotografie zcela nové. Chcete-li i vy takové vytvářet, použijte program XnRetro....  celý článek

    Diskové úložiště
    Víte v jaké kondici je váš HDD či SSD? Zeptejte se správného programu

    Data. Chcete-li je mít jak v peřince, potom jistě pravidelně zálohujete. Můžete se však spolehnout na výdrž samotných diskových úložišť? To prozradí HDD...  celý článek

    Tipy a triky pro Windows 10
    Tipy pro Windows 10: automatické zapínání wi-fi či vyšší zabezpečení

    Ruční deaktivace wi-fi připojení a její automatická aktivace po určité době zajistí, že vás nikdo v tuto chvíli nebude rušit. Ukážeme také, jak v oznamovací...  celý článek

    Hledáte maminku v okolí na společné aktivity?
    Hledáte maminku v okolí na společné aktivity?

    Tyhle maminky na eMimino.cz jsou na tom stejně.

    Najdete na iDNES.cz



    mobilní verze
    © 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
    Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.