ZaRohem.cz Pražské metro Test osobnosti CowParade 2004 Praha MHD v ČR
Blog ZaRohem 1.PCRevue.cz Vinárna Na roli (Petřvald) Restaurace Třebovická role kapela Terra Ignota

Reklama
Hlavní stránka
Aktuality
Software
Internet
Hardware
Seriály
Viry
Tipy a triky
Download
Konference
Napište nám
Reklama
Doporučujeme užitečný crm systém od CÍGLER SOFTWARE!
Reklama
Tip na výkonný Macbook Pro 2017. Pořiďte si rychlý notebook s dlouhou výdrží.
13. září 1999 - Viry

Virový maják č. 9: Novinka: dva viry v jednom

Dokonalou souhru představuje symbióza červa jménem W32.Cholera a viru W32.CTX.

W32.Cholera

W32.Cholera je 32bitový červ napsaný v programovacím jazyku C++. Jeho tělo obsahuje zašifrovaný text CH0LERA - Bacterium BioCoded by GriYo / 29. Šíří se prostřednictvím elektronické pošty podobným způsobem jako ExploreZip. Přiložený soubor je ve formátu MIME, má název SETUP.EXE, ikonu InstallShieldu a je velký 49'187 bajtů. Pokud tento soubor spustíte, zobrazí se dialogové okno s textem:

Cannot open file: it does not appear to be a valid archive.
If you download this file, try downloading the file again.

Během toho se aktivuje virus W32.CTX, o němž si povíme o něco níže.

W32.Cholera nejprve prohledá všechny lokální a sdílené disky, na nichž hledá adresáře WINDOWS, WIN95, WIN98, WIN nebo WINNT. Do všech nalezených složek se pak zkopíruje sebe sama jako RPCSRV.EXE a zmodifikuje WIN.INI (v případě, že se jedná o Windows 95), resp. registry (pro Windows NT) tak, aby se tento soubor spouštěl současně se startem systému. Po restartu pak rozesílá informace z registrů vašeho počítače na adresy, které najde v adresáři.

Další šíření si tento červ zajišťuje tak, že prohledá soubory s příponou DBX, EML, HTM, HTML, IDX, MBX, NCH a TXT, na adresy, které v nich nalezne, odešle e-mail obsahující pouze "smajlík" :) a jako přílohu přidá sám sebe.

W32.CTX

W32.CTX je polymorfní souborový virus napadající PE (portable executable) spustitelné soubory. Je produktem červa W32.Cholera a poté, co se dostane do systému je schopen se dál šířit sám. Algoritmus zajišťující jeho polymorfnost (tj. schopnost průběžně měnit svůj kód tak, aby nemohl být rozpoznán antivirovým programem) je mírně vylepšenou obdobou algoritmu, který používá virus Marburg. Některé další funkce si autor vypůjčil a upravil z virů HPS a Parvo.

Identifikovat virus podle konkrétních projevů prakticky nelze, ale dobrým vodítkem může být nefunkčnost některých aplikací, neboť občas W32.CTX při infikaci poškodí původní program.

W32.CTX je napsán v assembleru, podchycuje volání API a nahrazuje je voláním vlastního dešifrátoru viru. Pokud má infikovaný soubor atribut "jen ke čtení" je tento atribut odstraněn a následně nastaven zpět. Tělo viru obsahuje šifrovaný text:

CTX Phage Virus Bio Coded by GriYo / 29A Disclaimer:
This software has been designed for research
purposes only. The author is not responsible for
any problems caused due to improper or illegal usage of it

Takto může vypadat plocha vašich Windows po aktivaci viru CTXJestliže spustíte zavirovaný soubor šest měsíců od infikace ve stejnou hodinu, v níž byl soubor napaden, zobrazí virus vaší pracovní plochu v invertních barvách a v rozlišení 800x600 pixelů. Na některých systémech ale tato funkce nefunguje.

W32.CTX je schopný šíření i pod Windows NT, nicméně pod tímto operačním systémem může být včas rozpoznán, neboť Windows NT při spuštění kontrolují kontrolní součty některých důležitých souborů.

W32.CTX je zatím posledním výtvorem člověka známého pod přezdívkou GriYo, který patří ke španělské skupině programátorů virů 29A. Tato skupina má za sebou bohatou historii - prvním "produktem" byl W32.Cabanas z roku 1997. GriYo vytvořil několik virů pro Windows 95 včetně multipartitních a polymorfních, které odborníci považují za špatně detekovatelné.

Jak se této povedené dvojce bránit? Stačí trocha opatrnosti a dodržovat pravidlo nespouštět a neotvírat žádný soubor, který dostanete e-mailem.

Reklama
 
 
Aktuální články:
Reklama
Program eWay-CRM je praktické CRM řešení integrované přímo do Microsoft Outlooku.
 
 
Reklama
 
© 1.PC Revue.cz - všechna práva vyhrazena
ISSN: 1213-080X
© Karel Kilián ml.
Zásady ochrany osobních údajů
Reklama