Virový maják č. 35: Novinky z virové scény uplynulého týdne
Minulý týden přinesl další várku nových virů, tentokrát naštěstí málo nebezpečných. Jedná se o trojského koně, který vykrádá hesla účtů uživatelů AOLu, dále o zajímavou ukázku toho, jak se dokáže šířit obyčejný dávkový soubor a nakonec tu máme první virus pro aplikaci MS Visio.
APStrojan.QA
Trojský kůň napsaný ve Visual Basic 5, jehož cílem je vykrádání přihlašovacích hesel uživatelů AOLu a jejich následné odeslání autorovi. Vzhledem k tomu, že AOL u nás zatím neposkytuje své služby, nemusíte se tohoto viru obávat.
APStrojan.QA se šíří e-mailem s předmětem hey you jako 216'576 bajtů velký soubor mine.exe, který má ikonu samorozbalitelného archivu PKLite. Po spuštěná uloží na disk soubory c:\msdos98.exe, C:\WINDOWS\SYSTEM\mine.exe, C:\WINDOWS\SYSTEM\ReadMe.Txt a c:\WINDOWS\uninstallms.exe, přičemž všechny spustitelné soubory jsou shodné. Poté upraví systémový soubor win.ini tak, aby se při startu spouštěl uninstallms.exe a registry tak, aby se spouštěl i msdos98.exe.
Tento trojský kůň vyžaduje knihovnu MSVBVM50.DLL, která je součástí instalace Windows 98, uživatelé Windows 95 jí mohou získat jedině nainstalováním nějakého programu napsaného ve VB5.
BV/gh
Červa BV/gh snad ani nelze nazvat virem, každopádně jde o zajímavou ukázku toho, jak se umí šířit jednoduchý dávkový soubor, čehož se dá snadno využít pro vývoj dalších virů. Malou úpravou lze pak například dosáhnout toho, aby další varianta tohoto "viru" smazala všechny soubory na disku.
Jak to funguje? Pokud obdržíte soubor ZIP "infikovaný" červem BV/gh a rozbalíte jej včetně zachování adresářové struktury, umístí se do složky po spuštění dávkový soubor WINRIP.BAT (v tomto případě funguje pouze pod anglickou verzí Windows NT, ovšem není problém upravit kód tak, aby metoda fungovala i pod českými Windows 9x). Při dalším startu systému se tento soubor spustí, vyhledá všechny archivy ZIP na disku C a umístí do nich další kopii sebe sama, čímž zajistí své další šíření.
VIS5.RadiantAngels
Virus se v současné době nešíří, pouze byl zaslán svým autorem některým antivirovým firmám. Jde o první virus pro aplikaci Microsoft Visio 2000, což je asi jediné, co je na tomto viru zajímavé. RadiantAngels (vyskytuje se i pojmenování V5M.Unstable) útočí během zavírání infikovaného dokumentu, kdy vypne antivirovou ochranu maker, infikuje šablony a znepřístupní prohlížení zdrojového kódu ve VB Editoru. Virus je polymorfní, což znamená, že dokáže měnit svůj kód a znesnadnit tak detekci antivirům. Poslední den v červenci, srpnu, říjnu a prosinci zobrazí hlášku
Visio2000.Unstable
Unstable, it's hard to be the one who's strong
Who's always got a shoulder to cry on
Who's got a shoulder for me?
Pomocí šablon se pak virus šíří do dalších dokumentů.
Vzhledem k tomu, že aplikaci MS Visio 2000 u nás používá patrně jen velmi malé množství uživatelů a V5M.Unstable neobsahuje žádné destruktivní funkce, nelze tento virus považovat za nebezpečný.
|
