Nová verze viru Mydoom se skrývá v odkazech

Na světě je nová varianta viru Mydoom, která využívá ke svému šíření nedávno objevenou chybu IFRAME v prohlížeči Microsft Internet Explorer (IE). Ta za urščitých podmínek způsobí přetečení zásobníku a tím následně umožní spustit libovolný kód v napadeném počítači. Nová varianta má několik názvů, podle toho, jak jej detekovali různé antivirové společnosti. Nejčastěji se však můžete setkat s označením Mydoom.ah.

Specifikem tohoto viru je fakt, že se samotný vir nešíří prostřednictvím přílohy v e-mailové zprávě. Samotná zpráva obsahuje pouze odkaz, který způsobí, pokud na něj uživatel klikne, že se vir stáhne a spustí v napadeném počítači. Vir totiž čeká na počítači, z něhož byla závadná zpráva s odkazem odeslána, právě na to, až někdo na odkaz klikne. Tímto způsobem se pokouší obelstít antivirové programy.

Jak zprávu s virem poznáte?

Jak je obvyklé u moderních virů, mají schopnost falšovat adresu odesílatele, takže se budete moci orientovat až podle textu v předmětu zprávy. V něm můžete vedle prázdného pole objevit i některý z následujících textů:

Confirmation Hello hey! Hi!

V případě, že otevřete tělo zprávy, naleznete zde jakousi hlavičku e-mailu a pobídku ke kliknutí na odkaz, který text obsahuje.

Hlavička e-mailu může obsahovat některý z následujících údajů:

X-AntiVirus: Checked by Dr.Web (http://www.drweb.net) X-AntiVirus: Checked for viruses by Gordano's AntiVirus Software X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)

V zpráva s odkazem pak může využívat některý z těchto textů:

Congratulations! PayPal has successfully charged $175 to your credit card. Your order tracking number is A866DEC0, and your item will be shipped within three business days. To see details please click this link DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an automated message system and the reply will not be received. Thank you for using PayPal. Hi! I am looking for new friends. My name is Jane, I am from Miami, FL. See my homepage with my weblog and last webcam photos! See you! Hi! I am looking for new friends. I am from Miami, FL. You can see my homepage with my last webcam photos!

Pokud na odkaz klinknete, stáhne se vám do počítače samotný vir a spustí se. Dále mimo jiných akcí vir v napadeném systému otevře port 1639, aby přes něj mohl proniknout případný útočník. Vir se také pokouší kontaktovat některé IRC servery, odkud očekává případné příkazy.

Tento MyDoom má také určen datum, kdy ukončí svou činnost. Stane se tak 16. prosince 2004.

Hrozí i další varianta

Na světě je však ještě jedna varianta tohoto viru (a další budou možná následovat), která je většinou označována jako MyDoom.AG. Tu poznáte podle následujících kritérií. V předmětu zprávy se tentokrát objevuje buď změť znaků nebo prázdné pole, případně některý z těchto textů:

Confirmation funny photos :) hello hey! Hi!

Tělo zprávy pak vedle již známých falešných hlaviček obsahuje některou z těchto vět:

FREE ADULT VIDEO! SIGN UP NOW! Look at my homepage with my last webcam photos!

Obrana

Tyto nové verze viru MyDoom se pokoušejí uživatele i výrobce antivirových programů nachytat na nový trik. Stále tak platí pravidlo, že při nakládání s obsahem informací a dat, které lze získat prostřednictvím internetu je potřeba pracovcat s nejvyšší opatrností.

Pomoci by vám mohly rady, které se objevily v seriálu Týden proti virům. Všeobecně platí, že je potřeba mít aktualizovanou virovou databázi vašeho antivirového programu a také byste měli mít záplatované programy, které používáte.