Neděle 5. prosince 2021, svátek má Jitka
  • schránka
  • Přihlásit Můj účet
  • Neděle 5. prosince 2021 Jitka

Červ NoDoom je na cestě. Přijde další zkáza?

Zatímco největší letošní pohroma jménem MyDoom pomalu odeznívá, autoři virů nelení. Po několika takřka nepostřehnutelných pokusech o zahlcení poštovních serverů je tu další nebezpečí v podobě hromadného útoku. Červ NoDoom má navíc tu drzost vydávat se za varování před nákazou.

Společnost MessageLabs, která se zabývá bezpečností e-mailové komunikace a již jsme mnohokrát zmiňovali v souvislosti s červem MyDoom, objevila další možnou hrozbu. Její štítová aplikace Skeptic zachytila dosud neznámý virus NoDoom, který podle heuristické analýzy připravuje další DoS útok - zahlcení internetových serverů hromadnými požadavky.

MessageLabs již ohledně nového červa kontaktovala všechny hlavní poskytovatele antivirových řešení. Ti by měli být schopní připravit účinnou obranu přibližně do 12 hodin. Ačkoliv tak učinila již 16. února, stránky antivirových společností dosud o NoDoomu mlčí.

Červ mnoha tváří

Skenovací engine Skeptic odchytil zatím kolem 800 exemplářů červa NoDoom v systémech klientů MessageLabs. Jeho masové šíření nebylo dosud zaznamenáno, podle mluvčího společnosti je to však jen otázkou času. NoDoom na sebe totiž na rozdíl od MyDooma bere několik podob: Jednou se tváří jako blahopřání k narozeninám, podruhé zase zmatený dopis od kamaráda, který si z předchozího bujarého večera nic nepamatuje. Největší nebezpečí znamená v případě, kdy varuje před sebou samým.

Tento postup už tvůrci počítačových virů jednou zvolili, a to u německého červa Sober. NoDoom experty překvapil především tím, že zneužívá renomé MessageLabs a jejím jménem upozorňuje uživatele před svou existencí. V příloze pochopitelně neobsahuje bezpečnostní záplatu, ale nebezpečný kód.

Pod lupou

Kód má délku 5 568 bytů a je zakomprimován packerem FSG. Podrobnou analýzou odborníci zjistili, že NoDoom obsahuje vlastní SMTP rutinu pro odesílání pošty, jejímž prostřednictvím se šíří dál. Adresy příjemců si nevybírá jen z databází e-mailových klientů, ale prohledává různé typy souborů na všech připojených discích: .DBX, .EML, .HTM, .HTML, .MBX, .MMF, .NCH, .OCS, .TBB a .TXT. Stejným způsobem falšuje také adresu odesílatele.

Červ se po spuštění nakopíruje do systémového adresáře jako \system32\ctsls.exe a do registrů vloží příkaz ke spuštění po každém restartu počítače. Například:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "Ctsls" = C:\WINNT\System32\ctsls.exe

Pokouší se také rozmístit do sdílených adresářů P2P aplikací, jejichž názvy obsahují "Share" či "Sharing". Dále obsahuje seznam doménových jmen spojených s undernet.org a některé části kódu slouží ke komunikaci se servery IRC. To ukazuje na to, že červ může přes IRC přijímat příkazy od svých tvůrců a připravovat se na útok proti uvedeným serverům.

Jak poznat NoDooma?

Předmět infikované zprávy může obsahovat následující formulace:

  • Happy Birthday
  • I can't recall what happened but..
  • I don't understand..
  • Is this the Smallest C++ MassMailer???
  • Shit happens...
  • SoBig SoSmall
  • Virus Alert: W32.Nodoom.A@mm

V těle mailu jsou uvedeny tyto informace:

  • Here are the files you asked for, cheers
  • Please explain me this attachment, it confused me..
  • SoSmall, SoCold, SoNice, SoGood, SoWarm..
  • Can you recall what happened at the party last friday?
    I'm having serious problems, i really should stop smoking!
    Maybe the picture files attached will explain it to you...
  • MessageLabs are the first to report of the new Nodoom Internet Worm.
    Please install the patch attached in this email to prevent outbreaks.
  • Is this what where all about?

Attachment o délce 5 kB má tyto názvy souborů:

  • antiserum_1.exe
  • file.txt .exe
  • documents.exe
  • myfiles.exe
  • screensaver.scr
  • patch.exe
  • pics.pif
  • weird.jpg         .zip.exe
  • Nejčtenější

Silná sluneční bouře může uvrhnout do tmy celé kontinenty, varuje vědkyně

Koronavirová pandemie nám ukázala, že nejsme na podobnou krizi připraveni. Podle amerických vědců bychom na tom byli...

Startujeme německý tankový motor z války, desetiletí pohřbený v bahně

Takhle zní zrekonstruovaný motor Maybach HL 120 TRM z německého útočného děla StuG. Strávil celá desetiletí pohřben v...

Maličké hi-fi do maličkých bytů. Vyzkoušeli jsme česko-britskou kombinaci

Moderní, elegantní a velmi dobře hrající. Vyzkoušeli jsme maličký streamer se zesilovačem Arcam Solo Uno a regálové...

Ušetřit, nebo připlatit? Co znamená devět tisíc korun při výběru notebooku

Premium Jeden je za 12 990 Kč, druhý za 21 990 Kč. Obě jsou to novinky s Windows 11, Full HD displejem, SSD úložištěm a...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Pět největších nesmyslů tradovaných o druhu Tyrannosaurus rex

Dravý dinosaurus druhu Tyrannosaurus rex vyhynul před nepředstavitelně dávnou dobou 66 milionů let. I když toho o něm...

Blogera připravil lajdáctvím o nohu, další zranil. Za nehodu dostal podmínku

Premium S podmínkou na pět let odešel od soudu čtyřiačtyřicetiletý Moldavan. V červenci 2019 způsobil na obchvatu Chrudimi...

Přes víkend zemřou všichni z JIP. Sestra vypráví o práci v době covidu

Premium Markéta Svobodová, hlavní sestra z Masarykovy nemocnice v Ústí nad Labem, stojí spolu s dalšími šesti kolegyněmi z...

Android Auto a CarPlay v každém autě. Poradíme vám, jak na to

Premium Chcete používat oblíbenou navigační aplikaci na displeji v autě místo telefonu? Přečtěte si, jak to udělat a neutratit...

  • Další z rubriky

Ulož.to nabízí 20 GB rychlého stahování. Musíte ovšem nahrát QR kód očkování

Se zajímavým ovšem trochu kontroverzním způsobem podpory očkování přichází portál Ulozto.cz. Každému zájemci, který...

Facebook končí se svým názvem? Podle médií se firma chystá přejmenovat

Facebook už možná nebude Facebook, tedy aspoň co se týká názvu společnosti, která vedle stejnojmenné sociální sítě...

Vyhrožovali lékařům kvůli covidu, Facebook jim zablokoval účty

Společnost Meta, která je provozovatelem Facebooku, zablokovala účty na sociální síti odpůrcům vakcín proti covidu-19...

Facebook smaže informace o obličejích uživatelů a nebude je rozpoznávat

Sociální síť Facebook se rozhodla k bezprecedentnímu kroku. V nejbližších týdnech ukončí funkci, která umožňuje...

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Žena u porodu dítěte kamarádky zjistila, že ho má s jejím manželem

Osmadvacetiletá Hailey Custerová z Arizony zažila nepříjemný šok, když pomáhala přivést na svět dítě nejlepší...

Divadlo stahuje představení. Autor trvá na černošském herci, Sokol nestačí

Obsazením černošského herce si nově podmiňuje britský autor Martin McDonagh inscenování své hry Ujetá ruka (Behanding...

Psychopati za volantem: pozor na dodávky, elektromobily a bouráky dvou značek

Beránci ve škodovkách a predátoři v bavorácích? Výběr auta o vás může prozradit víc, než byste možná chtěli. Ať už se...

Ve StarDance předčasně skončil Mirai Navrátil

Ještě před sobotním večerem StarDance je jasné, že se s taneční soutěží musí rozloučit zpěvák Mirai Navrátil. Vyšel mu...

Zákeřná rakovina endometria. Jaké jsou varovné příznaky?

O rakovině děložního čípku se hovoří často, už proto, že je jí možné předejít očkováním. Ženské orgány však může...