Čtvrtek 20. ledna 2022, svátek má Ilona
  • schránka
  • Přihlásit Můj účet
  • Čtvrtek 20. ledna 2022 Ilona

Červ NoDoom je na cestě. Přijde další zkáza?

Zatímco největší letošní pohroma jménem MyDoom pomalu odeznívá, autoři virů nelení. Po několika takřka nepostřehnutelných pokusech o zahlcení poštovních serverů je tu další nebezpečí v podobě hromadného útoku. Červ NoDoom má navíc tu drzost vydávat se za varování před nákazou.

Společnost MessageLabs, která se zabývá bezpečností e-mailové komunikace a již jsme mnohokrát zmiňovali v souvislosti s červem MyDoom, objevila další možnou hrozbu. Její štítová aplikace Skeptic zachytila dosud neznámý virus NoDoom, který podle heuristické analýzy připravuje další DoS útok - zahlcení internetových serverů hromadnými požadavky.

MessageLabs již ohledně nového červa kontaktovala všechny hlavní poskytovatele antivirových řešení. Ti by měli být schopní připravit účinnou obranu přibližně do 12 hodin. Ačkoliv tak učinila již 16. února, stránky antivirových společností dosud o NoDoomu mlčí.

Červ mnoha tváří

Skenovací engine Skeptic odchytil zatím kolem 800 exemplářů červa NoDoom v systémech klientů MessageLabs. Jeho masové šíření nebylo dosud zaznamenáno, podle mluvčího společnosti je to však jen otázkou času. NoDoom na sebe totiž na rozdíl od MyDooma bere několik podob: Jednou se tváří jako blahopřání k narozeninám, podruhé zase zmatený dopis od kamaráda, který si z předchozího bujarého večera nic nepamatuje. Největší nebezpečí znamená v případě, kdy varuje před sebou samým.

Tento postup už tvůrci počítačových virů jednou zvolili, a to u německého červa Sober. NoDoom experty překvapil především tím, že zneužívá renomé MessageLabs a jejím jménem upozorňuje uživatele před svou existencí. V příloze pochopitelně neobsahuje bezpečnostní záplatu, ale nebezpečný kód.

Pod lupou

Kód má délku 5 568 bytů a je zakomprimován packerem FSG. Podrobnou analýzou odborníci zjistili, že NoDoom obsahuje vlastní SMTP rutinu pro odesílání pošty, jejímž prostřednictvím se šíří dál. Adresy příjemců si nevybírá jen z databází e-mailových klientů, ale prohledává různé typy souborů na všech připojených discích: .DBX, .EML, .HTM, .HTML, .MBX, .MMF, .NCH, .OCS, .TBB a .TXT. Stejným způsobem falšuje také adresu odesílatele.

Červ se po spuštění nakopíruje do systémového adresáře jako \system32\ctsls.exe a do registrů vloží příkaz ke spuštění po každém restartu počítače. Například:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "Ctsls" = C:\WINNT\System32\ctsls.exe

Pokouší se také rozmístit do sdílených adresářů P2P aplikací, jejichž názvy obsahují "Share" či "Sharing". Dále obsahuje seznam doménových jmen spojených s undernet.org a některé části kódu slouží ke komunikaci se servery IRC. To ukazuje na to, že červ může přes IRC přijímat příkazy od svých tvůrců a připravovat se na útok proti uvedeným serverům.

Jak poznat NoDooma?

Předmět infikované zprávy může obsahovat následující formulace:

  • Happy Birthday
  • I can't recall what happened but..
  • I don't understand..
  • Is this the Smallest C++ MassMailer???
  • Shit happens...
  • SoBig SoSmall
  • Virus Alert: W32.Nodoom.A@mm

V těle mailu jsou uvedeny tyto informace:

  • Here are the files you asked for, cheers
  • Please explain me this attachment, it confused me..
  • SoSmall, SoCold, SoNice, SoGood, SoWarm..
  • Can you recall what happened at the party last friday?
    I'm having serious problems, i really should stop smoking!
    Maybe the picture files attached will explain it to you...
  • MessageLabs are the first to report of the new Nodoom Internet Worm.
    Please install the patch attached in this email to prevent outbreaks.
  • Is this what where all about?

Attachment o délce 5 kB má tyto názvy souborů:

  • antiserum_1.exe
  • file.txt .exe
  • documents.exe
  • myfiles.exe
  • screensaver.scr
  • patch.exe
  • pics.pif
  • weird.jpg         .zip.exe

CES 2022 - největší veletrh spotřební elektroniky

Veletrh CES je největší událost v oblasti spotřební elektroniky a IT každoročně pořádaný v lednu v Las Vegas.

Další témata: Koronavirus  Omikron  Sonda Parker Solar Probe Dalekohled Jamese Webba 

  • Nejčtenější

Prázdná letadla nad Evropou. Proč létají, i když na tom všichni tratí?

Tisíce poloprázdných nebo úplně prázdných letadel přeletěly v uplynulých měsících nad Evropou a svým způsobem zcela...

Přeletěli nejvyšší horu Afriky. Kilimandžáro překonali v balonu

Exkluzivně „Pohled přímo do kráteru byl nezapomenutelný,“ líčí pilot Kurt Frieden okamžik, kdy 6. prosince 2021 ve výšce 6 100 m...

Nadchlo nás: deset nejzajímavějších „tech hraček“, co půjdou letos koupit

Premium Na veletrhu CES v Las Vegas jsou vždy představeny tisíce nových produktů, které se dříve či později dostanou na trh. Na...

Uspí děti a probudí i největší spáče. Vyzkoušeli jsme nejlepší televizor do ložnice

Premium Na to, zda televizor do ložnice patří nebo ne, panují dost protichůdné názory. Pro ty s postojem souhlasným jsme...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Co je to Metaverse? Pokud vás děsí Facebook, tak to nechtějte vědět

Premium Má to být ta pověstná „příští velká věc“. Nový internet. Splynutí fyzického a digitálního světa. Každá firma chce „být...

Velký test samotestů na covid: lépe fungují výtěrové, některé neodhalí nic

Premium Ještě před dvěma lety znamenaly dvě čárky na testu, že se budou chystat křtiny, delta byly americké aerolinky, gama...

Nečekaný příbuzenský vztah. Vévodkyně Kate a Meghan pojí krev Přemyslovců

Premium Učebnice mluví jasně. Přemyslovci vymřeli po meči v roce 1306, kdy byl mladičký král Václav III. zákeřně zavražděn...

Češi investují do kryptoměn ve velkém. Stát řeší, jak je přinutit přiznat zisky

Premium Ještě nedávno byly virtuální měny jako bitcoin investicí především pro lidi, kteří chtěli experimentovat a nebáli se...

  • Další z rubriky

Facebook se podle britského úřadu musí zbavit firmy na animované gify

Antimonopolnímu úřadu ve Velké Británii se nelíbí loňská akvizice společnosti Meta Platforms, která si tehdy pořídila...

PODCAST: Jak Wikipedie shání autory a co nabízejí její placené služby

Wikipedie se za dvě desítky let stala fenoménem, ale ne každý ví, jak přesně funguje, kdo ji financuje, kdo do ní může...

Dvanáctka výborných funkcí Google dokumentů, které možná neznáte

Bezplatný textový editor od Googlu pracující v cloudu je nabitý výkonnými funkcemi. Myslíte, že znáte ty nejlepší z...

Vyhrožovali lékařům kvůli covidu, Facebook jim zablokoval účty

Společnost Meta, která je provozovatelem Facebooku, zablokovala účty na sociální síti odpůrcům vakcín proti covidu-19...

Co bolí nejvíc? Ani porod, ani kopanec do varlat. Lékaři sestavili žebříček

Bolí nejvíc porod, nebo když muže nakopnete do varlat? Ani jedno. Podle průzkumu britské Národní zdravotnické služby...

Zemřela Adalia Rose. Holčička, která předčasně stárla

Adalia Rose byla velkou bojovnicí. Podle lékařů měla zemřít kvůli progerii krátce po porodu. Dožila se ovšem patnácti...

Čtyři typy žen, které by chtěl mít každý muž po svém boku. Jste mezi nimi?

Možná právě vy si lámete hlavu nad tím, jak si zajistit přízeň stávající či budoucího partnera? V tomto směru záleží na...

Začínal se čtyřmi zaměstnanci, dnes jich má devadesát a prodává i do světa

Svou firmu založil navzdory již existující konkurenci. Po úspěšném startu začal s vlastní výrobou výtahů, později...

Pořízková ukázala vrásky a šediny. Stárnoucí ženy z médií téměř vymazali, říká

Pavlína Pořízková (56) se pochlubila neretušovanou fotkou s odrůstajícími šedinami. Podle české topmodelky je přirozené...