Virový maják č. 32: Programátoři virů se snaží - máme další tři novinky!
Koncem loňského a začátkem letošního roku se objevuje velké množství virů, které používají stále rafinovanější techniky šíření a často obsahují destruktivní instrukce, jejichž cílem je poškodit operační systém, nebo zničit veškerá data. Tři novinky si dnes stručně představíme.
W97M.Vale - celkem neškodný makrovirus
W97M.Vale je další z nekonečné řady makrovirů pro MS Word 97 a 2000. Kód viru je umístěn v modulu nazvaném Money. Po infikování počítače znepřístupní nabídku Nástroje-Makro, čímž uživateli znemožní prohlížení zdrojových kódů maker a tedy i samotného viru. V případě, že se o to pokusíte, zobrazí se hláška Lamento voce nao possue nivel para esta operacao. Por Favor leia o Manual de instrucoes para maiores detalhes, což znamená Nelze provést tuto operaci. Prosím přečtěte si manuál pro další instrukce. Použijete-li klávesovou zkratku Alt+F11, zobrazí se jiná hláška s textem Este programa executou uma instrucao ilegal por favor feche o Windows e reinicie, která tvrdí, že program provedl neplatnou instrukci a dožaduje se ukončení Windows a následného restartu počítače. Kromě toho virus vkládá do složky Windows soubory MONEY.DOC a DINHEIRO.DOC, které odesílá prostřednictvím IRC (původním záměrem autora bylo, aby se W97M.Vale uměl šířit i elektronickou poštou, nicméně podle dostupných informací tato funkce nefunguje). Používáte-li Word 2000, může virus provést úpravu registrů, ve kterých nastaví nižší stupeň zabezpečení této aplikace.
V určité dny, konkrétně 1. ledna, 19. května, 20. září a 25. července zobrazí virus série různých hlášek v portugalštině.
W32.Mix.2048 - nakazit se můžete z webové stránky
Virus je napsán v JavaScriptu a jako takový může být zakomponován do dokumentů HTML, tedy například do webových stránek s příponou HTM, HTML, HTT a ASP. Při otvírání takto infikované stránky se při středním zabezpečení MS Internet Exploreru zobrazí hláška informující o tom, že stránka obsahuje potenciálně nebezpečné objekty ActiveX a nabízí povolení inicializace těchto objektů. Pochopitelně v případě, že se vám podobná hláška zobrazí, odpovězte vždy stiskem tlačítka Ne.
V případě, že byste vybrali Ano, spustí se samotný kód viru, který vyhledá na disku HTML soubory, jež by mohl infikovat. Složky jsou prohledávány v následujícím pořadí:
- C:\Windows
- C:\My Documents
- C:\Windows\Desktop
- C:\Windows\Web
- C:\Mis Documentos
- C:\Windows\Help
- C:\Windows\Escritorio
- C:\Win2000\Web
- C:\Win2000\Help
- C:\Program Files\Internet Explorer\Connection Wizard
- C:\Program Files\Microsoft Office\Office\Headers
- C:\Inetpub\wwwroot
Z názvů prohledávaných složek vyplývá, že autor chtěl, aby jeho virus fungoval jak pod anglickou, tak pod španělskou verzí Windows (není ale příliš těžké upravit virus tak, aby fungoval i pod českými Windows).
Poté W32.Mix uloží do kořenového adresáře soubory [H4[H04.DLL, README.BAT a SEXYNOW!.BAT a do složky Windows\Favorites soubor FreeSex.Hypererotika.URL. Poslední jmenovaný soubor funguje jako odkaz na webovou stránku autora viru. [H4[H04.DLL.DLL není, jak by se podle přípony mohlo zdát, dynamická knihovna, nýbrž skript, který je následně zkompilován nízkoúrovňovým debuggerem DEBUG.EXE na spustitelný program. To obstarávají soubory README.BAT a SEXYNOW!.BAT, které po spuštění ze souboru [H4[H04.DLL.DLL vytvoří 4096 bajtů velký program IMPORT.EXE nebo SUPERSEX.EXE obsahující klasický šifrovaný souborový virus napadající spustitelné soubory EXE a SCR ve složkách Windows a Windows\System. K tomu ještě navíc maže datové soubory některých antivirů.
Virus pak prostřednictvím registrů, nastaví úroveň zabezpečení Internet Exploreru na nejnižší hodnotu, čímž umožní spouštění veškerých skriptů bez nutnosti potvrzení uživatelem.
Podle některých informací obsahuje zdrojový kód několik chyb, takže nehrozí rychlé rozšíření, ovšem poté, co autor chyby opraví by mohlo jít o celkem nebezpečný druh infekce. Jistě se najdou tací, jež virus, ať už úmyslně nebo neúmyslně, zakomponují do svých stránek. Zkontrolujte si tedy, zda máte zabezpečení MS Internet Exploreru nastavené minimálně na střední úroveň a v žádném případě nepovolujte spouštění objektů ActiveX.
Poznámka: pro tento virus je v tuto chvíli mnoho aliasů - můžete se například setkat s označením Win32.H4.1852, VBS.Mix, W32.HTM.H[H04.2048, W32.Mix nebo W32.Mix.dll.dr.
WinSKC - špatně napsaný trojský kůň
WinSKC je trojský kůň, který je šířen hackerem jako 29'401 bajtů velký soubor SETUP.EXE prostřednictvím elektronické pošty. E-mail má jako odesílatele uvedenu falešnou adresu webmaster@hypermart.net, předmět Y2K an FTP Clients Update of Hypermart Administration a text:
In cause Y2K yours FTP clients can work incorrect with our server .In the letter we are give you update for your system. You need to start file setup.exe,that include in the letter.
Pokud příjemce spustí přiložený soubor, zobrazí se chybová hláška s textem Sorry. Please download and install new version of OLE32.dll from http://www.microsoft.com. Po stisku tlačítka OK je do složky c:\WINDOWS\TEMP\ umístěn soubor Ole.exe a do složky C:\Windows soubor windown.exe. Virus pak provede úpravu souboru SYSTEM.INI tak, aby se při startu systému spouštěl soubor windown.exe a upraví registry tak, aby se tento program spouštěl i v případě požadavku na spuštění ICQ. Podle odborníků má patrně tento trojský kůň vykrádat hesla, nebo zaznamenávat stisknuté klávesy. Přesný účel se však nepodařilo zjistit, neboť při testech pod operačním systémem Windows 98 docházelo k chybovým hláškám a program nefungoval tak, jak patrně jeho autor chtěl.
|
