Jak vir poznáte? Jméno odesílatele e-mailu je podvrženo z adres, které Mydoom.O objeví v napadeném počítači. V předmětu e-mailu vir využívá některý z následujících textů:
| click me baby, one more time delivery failed Delivery reports about your e-mail error hello hi error Mail System Error - Returned Mail Message could not be delivered report Returned mail: Data format error Returned mail: see transcript for details say helo to my litl friend status test The original message was included as attachment The/Your m/Message could not be delivered |
Jak již bylo naznačeno, text zprávy vychází z kombinace několika variant, do kterých je zakomponována doména či jméno příjemce nebo odesílatele, které vir doplňuje podle adresy, na níž se zaslal. Vir také v jedné variantě textu využívá adresu poštovního serveru, který používá napadený počítač, z něhož byl zavirovaný e-mail odeslán. Podle společnosti Symantec tak některé výsledné texty vycházejí z následujících variant:
Pozn: Ve složených závorkách jsou zobrazeny možné varianty doplňovaného textu, které jsou odděleny svislým znakem „|“.
|
Dear user { Your message {was not|could not be} delivered because the destination {computer|server} was {not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura- tion parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now. Your message {was not|could not be} delivered within {{{Mail s|S}erver}|Host} The following recipients {did|could} not receive this message: < Please reply to postmaster@{ if you feel this message to be in error. The original message was received at [current time]{ | }from { ----- The following addresses had permanent fatal errors ----- {< {----- Transcript of {the ||}session follows ----- ... while talking to {host |{mail |}server ||||}{ {>>> MAIL F{rom|ROM}:[From address of mail] <<< 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 < large} 554 < Session aborted{, reason: lost connection|}|>>> RCPT To:< <<< 550 {MAILBOX NOT FOUND|5.1.1 < {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output |}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed |}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded |}<<< 400}|} The original message was included as attachment {{The|Your} m|M}essage could not be delivered |
Samotná příloha se zavirovaným obsahem čerpá svůj název z domény, kterou objeví na napadeném počítači. To může být značně nebezpečné, neboť záměna komerční domény .com a spustitelné přípony *.com není v tomto případě samozřejmě patrná. Příloha také v některých případech využívá slov z následujícího seznamu:
| attachment document file instruction letter message readme text transcript |
Pokud tedy na základě předchozích indicií získáte podezření, že vám přišel tento vir, bez váhání jej smažte. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se i při vší oparnosti však již neobejdete.
Jak se bránit? Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.
