Searching
..

Click anywhere to stop

Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Email-Worm.VBS.BubbleBoy

Třída Email-Worm
Platfoma VBS
Popis

Technické údaje

Typ: Email Worm
Platforma: MS Windows s aplikací Internet Explorer 5.0, MS Outlook 98/2000 nebo MS Outlook Express

Jedná se o internetový virus červ, který se šíří prostřednictvím internetu jako infikovaných e-mailových zpráv. Červ přijde jako zpráva bez přílohy a červ používá několik triků pro aktivaci svého kódu přímo z těla zprávy. Po otevření této zprávy přebírá kód červů kontrolu, získá přístup k systémovým prostředkům (diskové soubory a systémový registr), zpracovává adresář aplikace Outlook a odesílá na tyto adresy infikované zprávy (podobně jako Macro.Word97.Melissa virus dělá).

Jedná se o první známý moderní internetový červ, který šíří své kopie bez připojených dat. Stejně jako v případě ostatních internetových červů, uživatel musí otevřít přílohu, aby aktivoval rutiny červa, které převezmou kontrolu v okamžiku, kdy je zpráva sama otevírána.

Podvody

K šíření svých kopií používá tento červ dva způsoby podvodu. První z nich je funkce MS Outlook umožňující vytváření zpráv ve formátu HTML. Zprávy ve formátu HTML mohou obsahovat skripty, které se automaticky spustí v okamžiku, kdy se zobrazí zpráva HTML (uživatel otevře zprávu). Červ používá tuto funkci k tomu, aby spustil svůj kód při otevření infikované zprávy.

K rozšiřování svých kopií a obtěžování zabezpečení aplikace Internet Explorer používá červ další trik. V tuto chvíli se tato chyba označuje jako "Scriptlet.Typelib".

Toto narušení zabezpečení umožňuje skriptům HTML vytvářet diskové soubory. Červ využívá tohoto porušování k vytvoření souboru HTA (aplikace HTML, nový typ se objevil s IE5), který obsahuje hlavní kód červů. Tento soubor je vytvořen ve složce Startup Windows a jako výsledek je aktivován při příštím spuštění systému Windows. Běží jako soubor lokálního disku, skript červa v tomto HTML získá přístup k souborům a zdrojům disku bez varovných zpráv zabezpečení aplikace Internet Explorer, připojuje se k adresáři aplikace Outlook a rozšiřuje se.

Technické údaje

Když uživatel otevře infikovanou zprávu, skript červů vložený do tohoto těla zprávy je automaticky aktivován a spouštěn MS Outlook. Tento skript (pomocí narušení zabezpečení) vytvoří soubor "UPDATE.HTA" v adresáři "C: WINDOWSSTART MENUPROGRAMSSTARTUP". Jedná se o stejný soubor, který se červ snaží pokoušet vytvořit v adresáři "C: WINDOWSMENU INICIOPROGRAMASINICIO" (výchozí název systému Windows).

Tento soubor "UPDATE.HTA" obsahuje hlavní kód červů. Bude proveden při příštím spuštění systému Windows kvůli jeho umístění ve složce Po spuštění. Červ má zde malou chybu: předpokládá, že systém Windows je vždy nainstalován v adresáři C: WINDOWS. Pokud tomu tak není, červa nemůže vytvořit svůj soubor a nebude se dále replikovat.

Při spuštění souboru UPDATE.HTA červa spustí aplikaci Outlook ve skrytém okně a vytvoří novou zprávu všem příjemcům z adresáře aplikace Outlook stejně jako virus "Melissa". Tato nová zpráva má formát HTML a obsahuje skript červa v těle. Předmět zprávy je "BubbleBoy zpět!" A textové tělo se zobrazí takto:

 BubbleBoy incident, obrázky a zvuky http://www.towns.com/dorms/tom/bblboy.htm

Po odeslání této zprávy červ vytvoří v klíči registru systému následující kód, aby zabránil odesílání duplicitních zpráv:

 "HKEY_LOCAL_MACHINESoftwareOUTLOOK.BubbleBoy" = "OUTLOOK.BubbleBoy 1.0 od Zulu"

Na konci červa opouští na obrazovku okno s následujícím textem uvnitř:

  Systémová chyba, odstraňte ze spouštěcí složky "UPDATE.HTA", abyste tuto možnost vyřešili  problém.

Červ také mění registrační data systému Windows (tato rutina je spuštěna ve chvíli, kdy skript UPDATE.HTA přebírá kontrolu):

  RegisteredOwner = "BubbleBoy"  RegisteredOrganization = "Vandelay Industries"

Ochrana

Společnost Microsoft vydala aktualizaci, která eliminuje zabezpečení zranitelnosti "Scriptlet.Typelib". Důrazně doporučujeme navštívit stránku http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP a nainstalovat tuto aktualizaci.

Pokud nepoužíváte žádné aplikace HTML (soubory HTA), existuje další způsob, jak zabránit infekci virem tohoto typu (červy a viry, které používají chybu zabezpečení "Scriptlet.Typelib"). Pro rozšíření .HTA je nutné odstranit přidružení souboru. Chcete-li to provést, musíte postupovat podle několika kroků:

  1. Poklepejte na ikonu "Tento počítač" na ploše.
  2. V otevřeném okně vyberte nabídku "Zobrazit" -> "Možnosti …".
  3. Na kartě "Typy souborů" v seznamu "Typ registrovaných souborů" vyberte položku "Aplikace HTML".
  4. Klikněte na tlačítko "Odebrat" a potvrďte akci.
  5. Zavřete dialogové okno možností.

Odkaz na originál
Zjistěte statistiky hrozeb šířících se ve vašem regionu