Elektronický zloděj peněz

První varianta e-mailového červa MiMail spatřila světlo světa v srpnu roku 2003. První, nikoliv však poslední. Dodnes...


První varianta e-mailového červa MiMail spatřila světlo světa v srpnu roku
2003. První, nikoliv však poslední. Dodnes se objevují jeho další a další
verze. Rekord přitom drží listopad 2003, kdy antivirové firmy zaznamenaly
celkem deset nových variant MiMailu, z nichž každá způsobila větší či menší
epidemii.
Celá rodinka MiMail se vyznačuje obratným využíváním sociálního inženýrství. Už
první verze se vydávala za zprávu od administrátora, přičemž obratným způsobem
falšovala e-mail odesílatele jako admin@[jméno domény, v níž se nachází adresa
příjemce]. Text zprávy pak představoval strohé oznámení, že možnost používání
příslušné e-mailové adresy brzy vyprší a že bližší podrobnosti lze nalézt v
přiloženém souboru. Samozřejmě, že mnoho uživatelů se vyděsilo, že přijdou o
možnost používání elektronické pošty a neštěstí bylo hotovo.
Další verze MiMailu si v mnohém byly podobné, ale v mnohém se také lišily.
Jedno ovšem měly společné: tvůrci se snažili poučit z chyb a nedostatků a
připravovat lepší a lepší varianty.
Verze C až G do napadených počítačů instalovaly spamovací motor. A nejen to,
některé z nich prováděly z napadených stanic masivní DDoS útoky na vybrané
antispamové servery. Varianta C přitom obsahovala i relativně primitivní rutinu
pro krádež informací, jež je možné následně použít ke zcizení finančních
prostředků z platebního systému E-Gold.
Nicméně to nebylo to nejzajímavější, co nám byl červ MiMail schopen předvést;
tím hlavním bylo provedení nefalšovaného kybernetického zločinu velkého
rozsahu. Jak lze něco podobného uskutečnit nám názorně představily varianty
MiMail.I a J v listopadu 2003.

Krádež ve velkém
MiMail.I používal předmět zprávy "YOUR PAYPAL.COM ACCOUNT EXPIRES" a přiložený
soubor nese název WWW. PAYPAL.COM.SCR. MiMail.J má zase poněkud strohý předmět
"IMPORTANT" a přiložený soubor stejného názvu jako výše uvedený, jen s příponou
PIF. V textu zprávy je vložena e-mailová adresa příjemce, což může u některých
uživatelů vzbudit zdání důvěryhodnosti. Vlastní text pak hovoří o tom, že brzy
vyprší platnost účtu systému PayPal, ale že je tomu možné zabránit. Stačí málo:
vyplnit přiložený formulář, který slouží k ověření vaší totožnosti (inu,
bezpečnostní důvody).
Kdo ale uvěří, formulář spustí a data odešle, spláče nad výdělkem. Pokud
příjemce červa z přiloženého souboru aktivuje, je mu nejprve zobrazen falešný
webový formulář, který imituje grafický styl platebního systému PayPal. Tímto
formulářem se červ snaží uživatele přinutit ke vložení údajů o jeho kreditní
kartě. Ty jsou zaznamenány do souboru c:ppinfo.sys, který je později odesílán
e-mailem na určité adresy. Jinými slovy: poměrně jednoduchou technikou
(zfalšované adresy, napodobená grafika a sociální inženýrství) jsou z nic
netušících uživatelů získávána citlivá data k jejich účtům v platebním systému
PayPal. Že tato data nejsou sbírána jen z dlouhé chvíle nějakého pubescentního
programátora, ale že z příslušných účtů obratem mizí veškeré finance, jistě
netřeba zdůrazňovat.
Trochu dále jde MiMail.P, který se také pokouší z uživatele vymámit citlivé
údaje pod záminkou "fantastické novoroční nabídky systému PayPal", ale který
zároveň do systému instaluje trojského koně Sysbug. Ten sbírá informace o
nejrůznějších přihlašovacích jménech a heslech (namátkou Account Name, POP3
Password2, POP3 Server či INETCOMM Server Passwords). Tyto informace jsou
uloženy do souboru TMPPSW.TXT a následně odeslány z infikovaného počítače.
Případ rodiny červů MiMail ukazuje, jakým způsobem postupují současní tvůrci
škodlivých kódů: Vypouštějí nové a nové verze svých výtvorů s tím, že v nich
odstraňují staré nedostatky a přidávají funkce. Nejdůležitější je ale zjištění,
že škodlivé kódy už se netvoří jen pro zábavu, ale že se mohou stát prostředkem
nelegálního obohacení.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.