Pozor na nového trojského koně Trojan.Peacomm

Od pátku 19.1.2007 zaznamenaly antivirové společnosti zvyšující aktivitu trojského koně pod názvem Trojan.Peacomm. Vzhledem k relativně klidnému konci roku 2006 přichází po celkově delší časové prodlevě. V každém případě doporučujeme oveřit, že na všech antivirech používáte definice s alespoň pátečním datem (19.1.2007 nebo novější).

Vir se šíří pomocí elektronické pošty. Poznáte ho snadno, do předmětu zprávy vkládá náhodně "senzační" texty, které by měly vést příjemce k rychlému otevření přílohy.

Příklady textu:

• 230 dead as storm batters Europe.
• Re: Your text
• Radical Muslim drinking enemies's blood.
• Chinese missile shot down Russian satellite
• Chinese missile shot down Russian aircraft
• Chinese missile shot down USA aircraft
• Chinese missile shot down USA satellite
• Russian missile shot down USA aircraft
• Russian missile shot down USA satellite
• Russian missile shot down Chinese aircraft
• Russian missile shot down Chinese satellite
• Saddam Hussein safe and sound!
• Saddam Hussein alive!
• Fidel Castro dead.

Ke zprávě je přiložený .EXE soubor, který na napadený počítač nainstaluje ovladač (%System%\wincom32.sys). Tento ovladač pak začne stahovat další škodlivý kód.

Příklady jmen přiložených souborů:

• FullVideo.exe
• Full Story.exe
• Video.exe
• Read More.exe
• FullClip.exe
• GreetingPostcard.exe
• MoreHere.exe
• FlashPostcard.exe
• GreetingCard.exe
• ClickHere.exe
• ReadMore.exe
• FlashPostcard.exe
• FullNews.exe

Doporučení pro zamezení šíření nákazy:

1. Omezit přístup k UDP portům, které nákaza používá pro své šíření. Jedna se o porty UDP 7871 a UDP 4000. Blokující pravidla by se měla objevit nejen na hraničních firewallech, ale především v osobních firewallech klientských PC.
2. Zajistit, aby všechny aplikace i operační systémy obsahovaly všechny kritické záplaty (patche) doporučované výrobci.
3. Na poštovních serverech by mělo bez výjimek docházet k blokaci příloh se spustitelnými soubory: .EXE, .VBS, .BAT, .PIF, .SCR, .COM.
4. Maximálně omezit počet běžících služeb na nezbytně a skutečně používané. Tím se opět sníží možnost nákazy prostřednictvím chybějící bezpečnostní záplaty.
5. Používat silná hesla pro ochranu uložených dat. V případě úspěšného napadení a odeslání informací k útočníkovi se snižuje možná škoda ze zneužití dat.
6. Vysvětlit koncovým uživatelům možné důsledky virové nákazy a poučit je o zásadách "správného chování" k webovým službám a elektronické poště. Otevírat pouze přílohy ve zprávách, které očekávají, navštěvovat ověřené, bezpečné webové stránky.

zdroj: www.symantec.com