|
A je to tady ! Dlouho se o tom mluvilo a te∩ je to skuteΦnostφ !Nov² "emailov² Φerv" BubbleBoy je toti₧ prvnφ Φerv, kter² se aktivuje pouh²m otev°enφm infikovanΘ zprßvy. Infikovanß emailovß zprßva neobsahuje
₧ßdnou p°φlohu - Φerv je p°φmo souΦßstφ zprßvy. MS Outlook (nutnß Φßst, bez kterΘ se BubbleBoy nedokß₧e Üφ°it) toti₧ umo₧≥uje odesφlat emailovΘ zprßvy
v HTML formßtu. Toho Φerv (worm) BubbleBoy vyu₧φvß a je ve struktu°e HTML p°ipojen jako VBScript. Po aktivaci Φerva (tj. otev°enφ infikovanΘ emailovΘ zprßvy) dochßzφ
k infekci systΘmu. V adresß°i C:\WINDOWS\START MENU\PROGRAMS\STARTUP je vytvo°en soubor UPDATE.HTA. Ten obsahuje "zdrojßk" Φerva, kter² se automaticky
spouÜtφ p°i ka₧dΘm startu Windows. Po spuÜt∞nφ souboru UPDATE.HTA se potajnu spustφ i MS Outlook a BubbleBoy odeÜle svoji kopii vÜem lidem, kte°φ jsou uvedeni
v knize adres aplikace MS Outlook (zprßva mß subjekt "BubbleBoy back!"). Modifikacφ registr∙ si zajistφ, aby neodesφlal infikovanou emailovou zprßvu vφcekrßt na jednu adresu.
Vlastnφka "woken" m∞nφ na "BubbleBoy", organizaci na "Vandelay Industries".
╚erv BubbleBoy nenφ hlßÜen jako In-the-Wild. V praxi se s nφm tedy setkßte jen t∞₧ko, za to na informaΦnφch serverech se toho o n∞m dozvφte po₧ehnan∞ :-(
Doufejme, ₧e se k tomu nevyjßd°φ ╚TK - aby to nedopadlo jako minule :-(
Je to neuv∞°itelnΘ, ale sotva jsem to dopsal, tak na Sophosu u₧ informujou o druhΘ variant∞ BubbleBoy ! To zas bude afΘra !
|
|
