Virový maják č. 15: Tři novinky z virové scény (Infis, Oporto a SubSeven)
Uplynulý týden přinesl po krátké pauze hned čtyři nové viry a trojské koně. Kromě trojana DonaldD, o němž píšeme jinde, se objevil velice zajímavý Infis pro Windows NT, Oporto (fungující pod všemi Windows) a další verze trojana SubSeven. Chcete-li vědět více, věnujte pozornost následujícím řádkům.
WNT.Infis.4608
Virů napsaných výhradně pro Windows NT není, ve srovnání s počtem virů pro platformu Windows 9x, příliš mnoho, ale dá se očekávat, že po nástupu Windows 2000 začne jejich počet vzrůstat. Jednou z novinek pro "entýčka" je WNT.Infis.4608.
Tento virus infikuje 32 bitové PE (portable executable) soubory a je zajímavý především tím, že se instaluje do systému jako ovladač, což znesnadňuje jeho detekci a odstranění. Pokud poprvé spustíte zavirovaný program, vytvoří se v registrech klíč HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\inf v adresáři C:\WINNT\SYSTEM32\DRIVERS přibude 4608 bajtů velký "ovladač" INF.SYS obsahující tělo viru.
Po restartu systému se virus automaticky nahraje do paměti, převezme kontrolu nad některými nedokumentovanými funkcemi WinNT a začne napadat soubory EXE. Infis nenapadá soubor CMD.EXE (příkazová řádka) a není schopný napadnout ani programy s atributem "jen ke čtení". Díky chybám v kódu navíc poškodí některé programy, čímž na sebe může velice rychle upozornit.
Infis funguje pod Windows NT 4.0 SP 2 a vyšší, není schopen replikace po Windows NT 3.5x ani Windows 2000.
Komentář: WNT.Infis.4608 není díky svým chybám v kódu příliš nebezpečný (pomineme-li poškození některých programů). Zjistit jeho přítomnost v počítači je otázkou několika vteřin - stačí se podívat do složky C:\WINNT\SYSTEM32\DRIVERS a hledat soubor INF.SYS.
W32.Oporto.3078
W32.Oporto.3078 je virus pro Windows 95, 98 a NT infikující spustitelné PE programy. Pokud je infikovaný program spuštěn 24. září, začnou se zobrazovat dialogová okna obsahující text:
TOTILIX Presents...
This >TOTILIX< Virus was assembled at the
city of Oporto Portugal!
gas_par@hotmail.com
(c) 1999 G@SP@R aka Sexus
Při infikaci virus přepíše prvních šest bajtů hostitelského souboru tak, aby po spuštění programu došlo nejprve k aktivování viru. Ten pak najde a obsadí 30 funkcí Windows API, které používá k hledání a další infikaci souborů. Následně si vyhradí místo v operační paměti, zkopíruje se do něj a spouští se odsud.
Virus neinfikuje soubory začínající na NTVD a maže soubory ANTI-VIR.DAT.
Komentář: Oporto byl zaznamenán i na území Německa, takže šance že by se mohl objevit i u nás je poměrně reálná. Naštěstí alespoň neničí data, takže následky jeho působení nemusí být tragické.
SubSeven 2.0 Server
Někteří japonští uživatelé dostali minulý týden e-mail s přiloženým souborem server.exe, který byl vydáván za antivirový program od Microsoftu proti viru nazývanému Pinkworm. Ve skutečnosti se ale jedná o novou verzi trojského koně SubSeven, který je v řade znaků podobný známému Backdoor.G.
SubSeven je typický trojský kůň sestávající z klientské a serverové části, umožňující vzdálenou správu počítače přes Internet.
Po prvním spuštění se program nainstaluje do složky Windows, zpravidla jako kerne1.exe (může mít ale jakékoliv jiné jméno). Během instalace může SubSeven zobrazovat konfigurovatelnou chybovou hlášku, která obvykle obsahuje text:
Error
Out of system resources
Po nainstalování odešle zprávu o napadení systému přes ICQ, IRC nebo e-mailem hackerovi, který může například vyhledávat, nahrazovat a odesílat soubory, získávat hesla, měnit barvy a rozlišení vaší obrazovky, přehrávat zvuky a měnit systémové datum a čas.
Komentář: Trojské koně dovolující hackerům přístup k počítači přes síť (resp. přes Internet) jsou velmi nebezpečné. Vyvarovat se jich ale můžete velmi jednoduše - stačí nespouštět žádné programy podezřelého původu, obzvláště pak ty, které přijdou e-mailem a vydávají se za užitečné utility, antiviry atp.
|
