Červ Bugbear (W32.Bugbear@mm) řádí

Vladimír Stwora

4.10.2002 Technická poradna Témata: Nezařazeno 622 slov

Objevil se nový vir (spíše worm / červ) a šíří se značnou rychlostí. I když vám nevymaže přímo disk, je toho dost, čím vám může uškodit.

Tento červ je na světě teprve od 29. září a pochází zřejmě z Malajsie. Rapidně se šíří prostřednictvím emailů, přičemž využívá chyby v MS Outlook. U verze nižší než 6 tohoto software stačí, aby příjemce nakažený email obdržel a prohlédl si ho v náhledu - nemusí ani klikat na přílohu.

Napadá operační systémy Windows 95/98/ME/2000/XP. Majitelé jiných operačních systémů (Mac, Linux, apod.) se nemusí obávat.

Worm používá různé hlavičky, různý obsah a různé koncovky přípony v příloze. Koncovky [vtip]mohou být .scr, .pif nebo .exe. Při nakažení vašeho počítače se červ nejprve pokusí zneutralizovat váš antivirový software a firewall. Červ je schopen zpacifikovat na 106 různých antivirových a firewallových aplikací, včetně těch robustních, jako ZoneAlarm, Norton Antivirus apod. Pak se postará o vlastní reprodukci. Prohledá nejen váš emailový adresář, ale také všechny soubory s koncovkami .mmf, .nch, .mbx, .eml, .tbb, .dbx, .ocs a odešle se na každou adresu, kterou v těchto souborech najde. Jako odesílatele volí pak náhodnou adresu z těch, které nalezl. K odesílání používá vlastního klienta, takže není závislý na vašem emailovém programu.

Následně umístí do systému trojského koně, v tomto případě jde o aplikaci, která bude monitorovat vše, co píšete na klávesnici, a ukládat to do souboru, který pak na požádání zvenčí odešle. Červ otevře port 36794, kde bude naslouchat. Na příslušný povel umožní hackerovi přístup do vašeho systému. Hacker je prakticky schopen vám vymazat libovolný soubor, odstartovat libovolnou úlohu, vytvořit obsah adresářů vašeho disku a nechat si jej odeslat, popřípadě může obdržet i libovolný váš soubor. Červ rozezná váš operační systém a použije různé způsoby k provedení svého díla. U operačních systémů Windows 95/98/Me se pokusí zjistit všechna hesla, která používáte. Využívá k tomu nepublikované funkce Windows (WnetEnumCachedPasswords).

Jak se bránit

Požívejte účinný antivirový program s novou verzí virové databáze (po 29. září). Jste-li už nakaženi, stáhněte si některý prográmek k dezinfekci. Např. ten od firmy Norton. Najdete jej zde: http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.removal.tool.html. Projeďte jej. Můžete se také pokusit o ruční vymazání, ale je to dost pracné.

Jak poznáte, že jste nakaženi

Je to problém, protože červ používá různá jména k uložení sebe sama do systému. Nejsnáze zjistíte své případné nakažení tak, že se podíváte, není-li otevřen port 36794. To je totiž port, na kterém červ čeká na příkazy zvenčí. Otevřete si příkazový řádek DOS (DOS-prompt) a napište:

netstat -a

Objeví se vám seznam podobný následujícímu:

C:>netstat -a
Active Connections
Proto Local Address Foreign Address State
TCP vladimir:echo vladimir:0 LISTENING
TCP vladimir:discard vladimir:0 LISTENING
TCP vladimir:daytime vladimir:0 LISTENING
TCP vladimir:qotd vladimir:0 LISTENING
TCP vladimir:1026 vladimir:0 LISTENING
TCP vladimir:1027 vladimir:0 LISTENING
TCP vladimir:1028 vladimir:0 LISTENING
TCP vladimir:1031 vladimir:0 LISTENING
UDP vladimir:echo *:*
UDP vladimir:discard *:*
...

Ve druhém sloupečku hledejte číslo 36794 za dvojtečkou a vpravo na stejném řádku slovo LISTENING. Jestliže tam ten řádek je, tak s největší pravděpodobností jste nakaženi.

Můžete také použít zkrácenou verzi výpisu, kde se vypíše pouze řádek s hledaným textem nebo nic:

netstat -a | find "36794"

Nebo se podívejte se, máte-li něco registru ve složce HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce. To je místo, kam si systém ukládá úlohu, kterou projede jen jednou při startu systému. Pak okamžitě obsah vymaže. Nemělo by tam tedy nic být. Pokud tam něco najdete, je pravděpodobné, že červ je už ve vašem počítači zabydlen.

Známka 1.0 (hodnotilo 3)

Oznámkujte kvalitu článku jako ve škole
(1-výborný, 5-hrozný)

1  2  3  4  5 

Káva pro Zvědavce

44

Být v obraze něco stojí.
Připojte se k ostatním a staňte se
také sponzorem Zvědavce, stačí
částka v hodnotě jedné kávy měsíčně.

Za měsíc leden přispělo 79 čtenářů částkou 13 311 korun, což je 44 % měsíčních nákladů provozu Zvědavce.

Bankovní spojení: 2000368066/2010
Ze Slovenska 2000368066/8330
IBAN: CZ4720100000002000368066
BIC/SWIFT: FIOBCZPPXXX

[PayPal]

Bitcoin:
165eUVffx5CuUNwr12JbqqZi6AtrbN22Y7
Další možnosti platby › Související články ›

Ve zkratce

Dementní Vídeňaci protestují na podporu afrických kobylek15.01.18 21:12 Rakousko 2

Pověsti, že německá vláda tajně letecky šíbruje migranty do Německa, se ukázaly být pravdou14.01.18 21:03 Neurčeno 2

Německý federální dětský televizní kanál: Ode dneška budeme Boha nazývat Alláhem. Všechny děti jsou muslimové14.01.18 20:20 Německo 3

Regensburg: Skupina mladých migrantů napadla dva policisty. Jsou s vážnými zraněními v nemocnici14.01.18 19:17 Německo 0

Wurzen (okres Lipsko): Boj mezi Němci a migranty - dva muži vážně zraněni 14.01.18 18:49 Německo 0

Pirát Michálek zcela vážně tvrdí, že Masaryk řekl: Všechno, co najdete na internetu, nemusí být pravda14.01.18 15:21 Česká republika 1

Times: Tusk obvinil Polsko z tajné práce pro Kreml a vystoupení z EU! 14.01.18 13:29 Polsko 0

Václav Havel: Všichni Češi jsou pokrytečtí vychcánkové a všichni kradou - delegovali svoje zlo na Junka (STB agent).To mě na tom sere!14.01.18 12:41 Česká republika 1

Dva slušňáci připíjejí na pokračující spolupráci 14.01.18 12:09 Česká republika 2

Antifa ubila muže železnou tyčí zato, že měl šle v národních barvách14.01.18 11:27 Španělsko 1

Babiš - slizký had - se již vyvléká z podpory Zemana. Doporučil mu zdůraznit orientaci na Západ, nehovořit ve prospěch Ruska a Číny a vyměnit poradce13.01.18 20:08 Česká republika 2

ODS opět zvolila svým vůdcem bývalého předsedu moravského výboru Panevropské unie, Petra Fialu, a doporučila voličům volit globalistu Drahoše13.01.18 19:54 Česká republika 1

Volby 2018: Miloš Zeman zvítězil s 38,57 % hlasů v prvním kole. Před pěty lety dostal 24,21 % hlasů. Druhému kolu se nevyhneme13.01.18 19:23 Česká republika 8

Počty nakažených spalničkama na Ukrajině rychle narůstají13.01.18 17:24 Ukrajina 2

Feministky pobouřil dopis hvězdné Deneuveové proti kriminalizaci mužů13.01.18 10:20 Francie 0

Štěch vůbec netuší, o čem hlasoval. Autoři petice proti směrnici EU o zbraních napsali Štěchovi a jeho odpověď četli s vytřeštěnýma očima13.01.18 00:58 Česká republika 2

Němečtí soc. dem. (SPD) půjdou opět do Velké koalice s Merkelovou - příliv migrantů do Německa bude pokračovat12.01.18 23:17 Německo 0

Soud s palestinským vrahem v Hamburku. Jeho obhájce šokoval hned na začátku12.01.18 22:36 Německo 0

Německý tisk o českém prezidentovi: Zeman podněcuje strach pomocí spikleneckých teorií11.01.18 22:56 Německo 5

Slavnostní zahájení oslav 100 let od vzniku Československé republiky a 1000 let české státnosti - projev prezidenta Zemana11.01.18 19:56 Česká republika 1

Měnové kurzy

USD
20,76 Kč
Euro
25,44 Kč
Libra
28,61 Kč
Kanadský dolar
16,68 Kč
Australský dolar
16,52 Kč
Švýcarský frank
21,58 Kč
100 japonských jenů
18,73 Kč
Čínský juan
3,23 Kč
Polský zloty
6,09 Kč
100 maď. forintů
8,23 Kč
Ukrajinská hřivna
0,73 Kč
100 rublů
36,77 Kč
1 unce (31,1g) zlata
27 733,45 Kč
1 unce stříbra
356,35 Kč
Bitcoin
231 519,64 Kč

Poslední aktualizace: 17.1.2018 07:33 SEČ

Tuto stránku navštívilo 15 598