Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor

I-Worm/BadTrans.B

Jde o druhou, daleko úspěšnější variantu červa I-Worm/BadTrans.A. Šíří se jako soubor v příloze elektronické pošty. Jméno souboru, ve kterém se I-Worm/BadTrans.B ukrývá má následující tvar:

{A}.{pripona1}.{pripona2}

Část označena jako {A} může obsahovat:

Pics, images, README, New_Napster_Site, info, news_doc, HAMSTER, YOU_are_FAT!, stuff, SETUP, Card, Me_nude, Sorry_about_yesterday, docs, Humor, fun, SEARCHURL, S3MSONG

První přípona může obsahovat řetezce .DOC, .ZIP nebo .MP3 a druhá pak .SCR nebo .PIF. V některých případech není rozhodující druhá přípona viditelná, takže to pak vypadá, že např. dorazila neškodná muzika ve formátu MP3 :(

Subjekt "postiženého" e-mailu obsahuje obvykle pouze řetezec RE:. E-mailové adresy "budoucích obětí" získáva červ ze složky doručené pošty (prostřednictvím MAPI) - odpovídá na dosud nepřečtené e-maily, popř. adresy vyhledává v souborech s příponou .HT* a .ASP.

Do infikovaného PC vypuští tyto soubory:

  • PROTOCOL.DLL - zabraňuje rozeslání červa vícekrát na stejnou e-mailovou adresu.
  • KERNEL32.EXE - tělo červa, zavádí se do paměťi při spuštění PC (využíva k tomu registry, popř. win.ini).
  • KDLL.DLL - "keylogger".
  • CP_25389.NLS - datový soubor od KDLL.DLL.

    Soubor KDLL.DLL obsahuje tzv. "keylogger", tj. program, který krade hesla a odesílá je do Internetu cizím lidem. "Keylogger" je vypouštěn červem I-Worm/BatTrans.B do postiženého počítače. Pokud zjistí, že nadpis aktivního okno ve Windows začíná písmeny LOG, PAS, REM, CON, TER nebo NET, zapisuje si uživatelem stisknuté klávesy (např. LOG zabere v případě okna s nadpisem Login apod.). Vedlejším efektem je, že často nelze napsat velké písmeno s háčkem či čárkou (místo "Č" se zobrazí např. "ˇˇC" apod.).

    Před e-mailovou adresu postiženého odesilatele vkládá znak "_", takže ho nelze zpětně o nebezpečí informovat při použití funkce REPLY - ODPOVĚDĚT (např. adresa franta@kuldan.cz bude změnena na _franta@kuldan.cz).

    Červ I-Worm/BadTrans.B využívá známé bezpečnostní díry v Internet Exploreru, která umožní automatické spuštění infikované přílohy už při pouhém otevření e-mailové zprávy ! Uživatel se tedy už ani nemusí namáhat soubor v příloze spustit !

    Záplatu na tuto bezpečnostní díru lze stáhnout zde !

    Výše uvedené soubory je během léčení nutné odmazat nejlépe z režimu MS-DOS, popř. ze startovací/systémové diskety.

    Zpět

    		•