Virový maják č. 33: První virus pro Windows 2000 má kořeny v Česku!
Win2K.Inta - První virus pro Windows 2000 má kořeny v Česku!
Oficiální uvedení Windows 2000 na trh je plánováno na 17. února tohoto roku, nicméně již 12. ledna byl objeven první virus, který funguje výhradně pod tímto operačním systémem (majitelé Windows 95,98 a NT se tedy nemusí ničeho obávat). Novinka nese název Win2K.Inta nebo Win2000.Install a vypadá to, že alespoň z poloviny pochází od českého autora známého pod přezdívkou Benny, který patří do mezinárodní skupiny 29A produkující nové viry (mimochodem na této stránce si můžete přečíst unikátní rozhovor s Bennym).
Podle současných informací není Win2K.Inta, existující již ve dvou variantách, příliš rozšířen a nebyl tedy zařazen ani mezi viry "In the Wild".
Zajímavostí je, že ačkoli se často mluví o Win2K.Inta jako o prvním viru pro Windows 2000, nevyužívá tento virus žádné funkce specifické pouze pro tento operační systém. Ve skutečnosti se jedná v podstatě o obyčejný souborový virus, jehož omezení na Windows 2000 je zajištěno tím, že si kontroluje verzi operačního systému a v případě, že zjistí jinou verzi než 2000, nepokračuje ve své činnosti. Poněkud paradoxní je také skutečnost, že tento virus nefunguje správně ani pod některými RC verzemi.
Win2K.Inta se šíří prostřednictvím tzv. "portable executable" souborů, do kterých se zapíše do "nevyužitého místa", takže nezmění jejich velikost. Nepoužívá tedy žádné moderní techniky jako elektronickou poštu nebo IRC, z čehož vyplývá jisté omezení rychlosti jeho masivnějšího rozšíření. Potěšitelná je i skutečnost, že tento virus neobsahuje žádné destruktivní instrukce - jediným smyslem jeho života je tedy replikace.
V těle viru je uložen textový řetězec obsahující jména autorů: [Win2000.Installer] by Benny/29A & Darkman/29A.
Terčem Win2K.Inta jsou soubory s příponou EXE, COM, DLL, ACM, AX, CNV, CPL, DRV, MPD, OCX, PCI, SCR, SYS, TSP, TLB, VWP, WPC a MSI. Právě "široký záběr" umožňuje viru nepozorovaný průnik do systému, protože většina uživatelů má nastaven antivirový program tak, že kontroluje pouze soubory s typickými příponami (EXE, COM, SYS, DLL, DRV, DOC, XLS, ...) a ostatní soubory prostě ignoruje. Proto je vhodné nastavit si antivirový program tak, aby kontroloval VŠECHNY soubory bez ohledu na jejich příponu.
Win2K.Inta je první vlaštovkou, která toho zatím moc nedokáže, dá se ale očekávat, že autoři většiny nových virů se zaměří i na to, aby jejich výtvory byly schopné šíření a funkce pod Windows 2000. Jistě bude velmi atraktivním cílem napsat virus, který bude využívat nějakého (zatím neznámého) nedostatku tohoto operačního systému. Ostatně s přechodem na nový operační systém nepřestávejte být opatrní - většina virů, které dosud fungovaly pod Windows 9x a NT bude na Windows 2000 fungovat také!
W95.Plage.worm - Další automatický "odpovídač"
Další internetový červ, pocházející taktéž z dílny 29A, který se šíří tak, že automaticky odpovídá na všechny nepřečtené e-maily. Odesílaný e-mail obsahuje text původní zprávy následovaný:
P2000 Mail auto-reply:
' I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! '
> Get your FREE P2000 Mail now! <
V příloze je pak 102'400 bajtů velký spustitelný soubor s ikonou podobnou samorozbalitelným archivům PKlite, obsahující další kopii W95.Plage, který může mít některý z následujících názvů:
- billgt.exe
- card.exe
- docs.exe
- fun.exe
- hamster.exe
- humor.exe
- images.exe
- joke.exe
- midsong.exe
- news_doc.exe
- pics.exe
- PsPGame.exe
- searchURL.exe
- SETUP.EXE
- s3msong.exe
- tamagotxi.exe
Po spuštění souboru se zobrazí chybová hláška, mezitím však je do složky Windows zkopírován soubor INETD.EXE a následně zmodifikován WIN.INI tak, aby se tento soubor aktivoval v okamžiku spuštění Windows. Virus pak získá kontrolu nad poštovním klientem a odpovídá výše zmíněným způsobem na všechny doručené zprávy.
Podle oborníků není W95.Plage.worm příliš nebezpečný.
|
