epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    29. 1. 2004
    ID: 23102upozornění pro uživatele

    Červ MyDoom – 22 kB zkázy v příloze

    Masivně se šířící červ MyDoom opět ukázal, že školení o nebezpečnosti pošty je málo a jedno navíc nikdy neuškodí. Následující popis je tedy napsán tak, aby tohoto červa dokázal identifikovat i neodborný uživatel a v případě nákazy se dokázal ubránit.

    V současné době je červ MyDoom (označovaný také jako Novarg či SCO) nejvíce se šířícím virem na planetě a úspěšně atakuje žebříčky nejaktivnějších virů všech dob. Ač obsahuje určité nové techniky vlastního rozesílání, stále spoléhá na nejslabší článek bezpečnosti - člověka, který ho sám z e-mailu spustí.

    Jak ho poznám

    Viry, které používají náhodné předměty zpráv, náhodné názvy souborů pro přípony a různý text v těle zpráv se upřímně dost špatně rozpoznávají. Tento červ má také docela velkou variabilitu a mění názvy dle potřeby. Záměrem jeho autora především bylo, aby vypadal jako obyčejné chybové hlášení o špatném e-mailu.

    Základní rozpoznávací znaky jsou:

    Velikost zprávy je mezi 22 a 23 kB. Velikost souboru v příloze je vždy 22528 bajtů. Příloha má často lákavě obyčejnou ikonku textového souboru, na kterou skočí i zkušenější uživatel. Soubor v příloze se například jmenuje message.scr a nese ikonku textového dokumentu.  Opatrnost velí vždy kontrolovat celý název souboru, a pokud končí na .exe, .bat, .pif, .scr, .com, .cmd, rozhodně jej nespouštět. Tento červ využívá také jinak bezpečnou příponu .zip. Soubory mají obvykle jméno:

    • document
    • readme
    • doc
    • text
    • file
    • data
    • test
    • message
    • body

    Obsahem těla zprávy je buď nic nebo jeden z textů:

    test

    Mail transaction failed. Partial message is available.

    The message contains Unicode characters and has been sent as a binary attachment.

    The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

    Poznámka: poslední tři texty jsou smysluplné chybové hlášky a najdete je občas i v normálních, jen špatně poslaných e-mailech. Pro tentokrát je ale můžete automaticky pokládat za podezřelé.

    Objevují se ale také varianty, kdy přijde v těle zprávy spousta nesmyslných znaků.

    V případě, že spustíte soubor z přílohy e-mailu, poznáte tento konkrétní virus jednoduše. Otevře se vám Poznámkový blok, ve kterém uvidíte nesmyslný text souboru:

    Kam se zavrtá

    Po spuštění se virus usídlí na řadě míst systému:

    • Nakopíruje se do systémové složky Windows (třeba c:Windowssystem) jako taskmon.exe
    • Do stejné složky uloží i vlastní DLL knihovnu shimgapi.dll (4096 bajtů)
    • Nastaví se v registrech pro spouštění při startu systému
      HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun "TaskMon" = %SysDir%taskmon.exe
      nebo
      HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun "TaskMon" = %SysDir%taskmon.exe
    • Začlení DLL do základního programu Explorer.exe pro obsluhu pracovní plochy a práci se složkami:
      HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 "(Default)" = %SysDir%shimgapi.dll
    • Nakopíruje se do sdílené složky programu Kazaa (c:Program FilesKaZaAMy Shared Folder) jako následující soubory se spustitelnou příponou (pif, scr, bat nebo exe):
      • nuke2004
      • office_crack
      • rootkitXP
      • strip-girl-2.0bdcom_patches
      • activation_crack
      • icq2004-final
      • winamp

    Čím škodí

    Červ obsahuje dvě varianty zákeřného kódu. Jednou je útok na webovou stránku www.sco.com, kterou chce od 1. února zahltit požadavky na titulní stranu.

    Druhá část, o kterou se stará DLL knihovna, je otevření TCP portů 3127 až 3198. Na těchto portech pak červ poslouchá požadavkům s různým využitím, může například přeposílat poštu pro spammery nebo krýt připojení útočníka k jinému serveru. Jednou z variant je také stažení připojeného souboru a jeho spuštění. Možnosti jsou tedy skutečně bohaté.

    Veškerou činnost červ ukončí k 12. únoru, neodinstaluje se ale a stále zůstane otevřený pro útočníka.

    Jak se šíří

    Virus obsahuje vestavěné SMTP a DNS jádro. Není tedy závislý na poštovním serveru a nevyžaduje ani nastavené DNS servery v počítači.

    E-mailové adresy získává ze všech souborů s příponami: wab, adb, tbb, dbx, asp, php, sht, htm a txt. Záběr je tedy úctyhodný a vyrovnávací paměť internetového prohlížeče na disku je pro něj vítaným soustem. Vir navíc ještě vygeneruje další e-mailové adresy na základě pár desítek křestních jmen a domény z nalezené adresy. Následně se pokusí odhadnout mailový server přidáním mx., mail., smtp., mx1., mxs., mail1., relay., nebo ns. před doménu odesílatele.

    Jak se ho zbavím

    Pokud si netroufáte na ruční odstranění, můžete využít automatické odstraňovače od Network Associates, F-Secure nebo Pandy (odstraňovačů je dnes již více, ale předpokládám, že chcete červa odstranit, ne sbírat všechny varianty téhož) .

    • Ruční postup odstraňování je protikladem infekce. Tedy musíte v registrech smazat klíče:
      HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 "(Default)" = %SysDir%shimgapi.dll
      a
      HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun "TaskMon" = %SysDir%taskmon.exe
      případně
      HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun "TaskMon" = %SysDir%taskmon.exe
    • Restartujte počítač, aby se soubory přestaly používat.
    • Smažte v systémové složce soubor taskmon.exe a shimgapi.dll.
    • Smažte vygenerované soubory ve sdílené složce Kazaa

    Poslední bod je pak preventivní – napište na tabuli padesátkrát „nebudu spouštět podezřelé přílohy z e-mailů!“.

    Zdroj: www.zive.cz



    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

    Tomáš Holčík
    29. 1. 2004

    Poslat článek emailem

    *) povinné položky

    Novinky v eshopu

    Aktuální akce

    • 10.09.2025Postup zaměstnavatele před/při sjednávání pracovního poměru z pohledu práva (pro soukromý sektor) (online - živé vysílání) - 10.9.2025
    • 10.09.2025Shareholders' agreement aneb Co by si měli společníci mezi sebou upravit (online - živé vysílání) - 10.9.2025
    • 11.09.2025Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 11.9.2025
    • 12.09.2025Novelizace rodinného práva od 1. 1. 2026 a procesní souvislosti (online - živé vysílání) - 12.9.2025
    • 17.09.2025AI asistent pro právní výzkum a analýzu dokumentů (online - živé vysílání) - 17.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 18.09.2025Diskusní fórum: Daňové právo v praxi - 18.9.2025
    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Dočasný zákaz výkonu funkce statutára dle zákona o kybernetické bezpečnosti a nové povinnosti pro statutáry
    • Trestní odpovědnost provozovatelů anonymních sítí
    • 10 otázek pro ... Jana Hrazdiru
    • Flexinovela a změny v oblasti jiných důležitých osobních překážek v práci
    • Výkon rozhodnutí
    • Realitní obchod, provize zprostředkovatele a právní důsledky odstoupení od kupní smlouvy
    • Byznys a paragrafy, díl 17.: Přístup do datové schránky právnické osoby při úmrtí jednatele
    • Specifika výpovědi podnájemní smlouvy bytu optikou judikatury Nejvyššího soudu
    • Realitní obchod, provize zprostředkovatele a právní důsledky odstoupení od kupní smlouvy
    • Limity nároku poškozeného na náhradu nákladů za nájem náhradního vozidla
    • Flexinovela a změny v oblasti jiných důležitých osobních překážek v práci
    • Byznys a paragrafy, díl 17.: Přístup do datové schránky právnické osoby při úmrtí jednatele
    • Druhá vlna povinností dle AI Aktu
    • Oprávnění policejního orgánu k odemknutí mobilního telefonu nuceným přiložením prstu obviněného
    • Sankce Evropské unie proti Rusku a jejich dopad na obchodní smlouvy
    • Soudní ombudsman jako most mezi soudy, advokacií a veřejností
    • Oprávnění policejního orgánu k odemknutí mobilního telefonu nuceným přiložením prstu obviněného
    • Novela trestního zákoníku
    • Jak číst znalecký posudek: Právní orientace pro advokáty
    • V čem Nejvyšší soud selhává a proč by mu to advokáti měli říct
    • Neplatnost vydědění a její důsledky
    • Koncentrace řízení a kdy je čas na poučení
    • Praktické dopady tzv. flexi novely zákoníku práce na běh a délku výpovědní doby
    • Specifika výpovědi podnájemní smlouvy bytu optikou judikatury Nejvyššího soudu

    Soudní rozhodnutí

    Výkon rozhodnutí

    Hlavním účelem vedlejšího účastenství je pomoc ve sporu jednomu z účastníků řízení, a jeho smyslem je posílit v konkrétním řízení postavení toho účastníka, na jehož straně...

    Odměna obhájce

    Ustanovení § 151 odst. 2 trestního řádu nezakládá bez dalšího nárok obhájce na odměnu a náhradu hotových výdajů za jakýkoli úkon právní služby poskytnutý obviněnému v...

    Podmíněné propuštění (exkluzivně pro předplatitele)

    Pokud se obecné soudy při posuzování podmínek pro podmíněné propuštění omezí na pouhé matematické sečtení kázeňských odměn a počtu trestních odsouzení a z možnosti...

    Poučovací povinnost (exkluzivně pro předplatitele)

    Pokud by odvolací soud založil svůj procesní postup pouze na nesprávném právním posouzení závěrů plynoucích z právně závazného názoru v rozhodnutí dovolacího soudu bez toho, aby...

    Právo na informace (exkluzivně pro předplatitele)

    Právo stěžovatele na informace podle čl. 17 odst. 1 a 5 Listiny je porušeno, jestliže povinný subjekt podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím neposkytl...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.