Pozor na nového trojského koně Trojan.Peacomm
23.1.2007
Od pátku 19.1.2007 zaznamenaly antivirové společnosti zvyšující aktivitu trojského koně pod názvem Trojan.Peacomm. Vzhledem k relativně klidnému konci roku 2006 přichází po celkově delší časové prodlevě. V každém případě doporučujeme oveřit, že na všech antivirech používáte definice s alespoň pátečním datem (19.1.2007 nebo novější).
Vir se šíří pomocí elektronické pošty. Poznáte ho snadno, do předmětu zprávy vkládá náhodně "senzační" texty, které by měly vést příjemce k rychlému otevření přílohy.
Příklady textu:
- 230 dead as storm batters Europe.
- Re: Your text
- Radical Muslim drinking enemies's blood.
- Chinese missile shot down Russian satellite
- Chinese missile shot down Russian aircraft
- Chinese missile shot down USA aircraft
- Chinese missile shot down USA satellite
- Russian missile shot down USA aircraft
- Russian missile shot down USA satellite
- Russian missile shot down Chinese aircraft
- Russian missile shot down Chinese satellite
- Saddam Hussein safe and sound!
- Saddam Hussein alive!
- Fidel Castro dead.
Ke zprávě je přiložený .EXE soubor, který na napadený počítač nainstaluje ovladač (%System%\wincom32.sys). Tento ovladač pak začne stahovat další škodlivý kód.
Příklady jmen přiložených souborů:
- FullVideo.exe
- Full Story.exe
- Video.exe
- Read More.exe
- FullClip.exe
- GreetingPostcard.exe
- MoreHere.exe
- FlashPostcard.exe
- GreetingCard.exe
- ClickHere.exe
- ReadMore.exe
- FlashPostcard.exe
- FullNews.exe
Doporučení pro zamezení šíření nákazy:
- Omezit přístup k UDP portům, které nákaza používá pro své šíření. Jedna se o porty UDP 7871 a UDP 4000. Blokující pravidla by se měla objevit nejen na hraničních firewallech, ale především v osobních firewallech klientských PC.
- Zajistit, aby všechny aplikace i operační systémy obsahovaly všechny kritické záplaty (patche) doporučované výrobci.
- Na poštovních serverech by mělo bez výjimek docházet k blokaci příloh se spustitelnými soubory: .EXE, .VBS, .BAT, .PIF, .SCR, .COM.
- Maximálně omezit počet běžících služeb na nezbytně a skutečně používané. Tím se opět sníží možnost nákazy prostřednictvím chybějící bezpečnostní záplaty.
- Používat silná hesla pro ochranu uložených dat. V případě úspěšného napadení a odeslání informací k útočníkovi se snižuje možná škoda ze zneužití dat.
- Vysvětlit koncovým uživatelům možné důsledky virové nákazy a poučit je o zásadách "správného chování" k webovým službám a elektronické poště. Otevírat pouze přílohy ve zprávách, které očekávají, navštěvovat ověřené, bezpečné webové stránky.
zdroj: www.symantec.com