Pravděpodobně během včerejška se začal šířit zcela nový typ červa, který využívá bezpečnostní díry v aplikaci Internet Explorer a ICQ ! Nakazit se je jednoduché a napáchané škody mohou být veliké!
Červ rozesílá přes komunikační program ICQ zprávy s obsahem http://www.jokeworld… :-)) LOL (kus adresy byl záměrně vynechán). Po kliknutí na uvedený odkaz (a byl jsem svědkem, že stačí mít místo ICQ Mirandu a ten odkaz jen zaktivovat dotykem myši – bez klikání!!!) dojde k otevření okna internetového prohlížeče. Pokud je používán Internet Explorer, pak se otevře okno IE. Ač stránka působí velice mírumilovně (animace v Macromedia Flash v „hratelné“ podobě), je tato animace volána odjinud za pomocí tagu IFRAME. Hlavní činností je totiž aktivace škodlivého skriptu přímo v HTML stránce. Ten díky bezpečnostní díře ve funkci showHelp() nakonec spustí vzdálený soubor iefucker.html (který byl propašován přes jinou bezpečnostní díru v ICQ – přes soubor program filesICQSoundsmeineStartup.wav) za využití lokálního souboru nápovědy (.CHM). Soubor iefucker.html poslouží jako TrojanDropper, tedy „vypouštěč“, konkrétně souboru WinUpdate.exe, který umístí do adresáře: Program WinUpdate.exe se stará o další rozesílání zpráv „www.jokeworld… :-)) LOL“ na kontakty uvedené v ICQ a celý proces se tak opakuje. Mezi další činnosti červa patří: Sysmon se stará o vykrádání celé řady informací, které zasílá přes FTP na server www.ustrading.info. Způsob léčení: v nouzovém režimu Windows (návod je uveden skoro dole) odmazat alespoň soubory WinUpdate.exe a sysmon.exe. | |
