MyBa: Další klon LoveLetteru je tady

Díky velké popularitě a rychlému šíření zaujal tento relativně jednoduchý virus řadu programátorů, kteří vytvořili jeho klony - jedním z mnoha byl například nedávno medializovaný VBS/Anna, který ve světě informačních technologií proslavil blonďatou ruskou tenistku Annu Kournikovovou. Objektivně zhodnoceno jsou viry odvozené z LoveLetteru obvykle produkovány nepříliš schopnými amatérskými programátory, kteří nejsou schopni vymyslet vlastní princip šíření, tak prostě použijí ten, který před nimi vymyslel někdo zkušenější. Ke kódu zajišťujícímu šíření následně naimplantují vlastní funkce, které více či méně modifikují původní vlastnosti viru. Jednotlivé klony se tedy liší nejen svými škodlivými funkcemi, ale i předmětem zprávy, ve které se šíří, názvem přílohy a případně doprovodným textem. Všechny ale mají jedno společné: šíří se prostřednictvím elektronické pošty jako zpráva, která má v příloze soubor s příponou VBS.

Další kategorií virů jsou tzv. červi - jedním z posledních zástupců tohoto druhu je MyBa a infikovat se jím mohou snad jen uživatelé, kteří naprosto ignorují základy bezpečnosti práce s přílohami e-mailových zpráv. Virus je napsán v programovacím jazyku Visual Basic a princip šíření údajně vychází z kódu VBS/LoveLetteru, který byl, podle slov Petra Odehnala ze společnosti Grisoft, poprvé použit již u proslulého makroviru Melissa.

Zpráva s virem má předmět My Babypic, obsahuje text It's my animated baby picture!!! a v příloze je soubor MYBABYPIC.EXE. Jak naznačuje přípona, jedná se o běžný spustitelný program a snad i v té úplně nejhloupější příručce pro začátečníky si přečtete, že spustitelné programy z Internetu mohou obsahovat virus a tudíž se nemají spouštět bez kontroly antivirem. Pokud se tedy někdo infikuje virem MyBa, může to být buď naprosto neznalý člověk, nebo někdo, kdo natolik ignoruje všechna doporučená bezpečnostní opatření, že mu patrně stejně již v počítači řádí několik desítek virů najednou. O tom, že takových nebude málo svědčí skutečnost, že Eugene Kaspersky označil virus pro jeho účinky za velmi nebezpečný a díky svému rozšíření byl zařazen do seznamu In The Wild.

Pojďme se tedy podívat na to, co se stane, když dojde k otevření přílohy. Samozřejmě se spustí kód viru, který nejprve zobrazí fotografii (to aby se uživatel necítil ošizen o slibovaný obrázek). Po uzavření obrázku se virus několikrát zkopíruje do systémové složky Windows pod názvy WINKERNEL32.EXE, MYBABYPIC.EXE, WIN32DLL.EXE, CMD.EXE, COMMAND.EXE a zapíše se do registrů, aby byl spouštěn současně s operačním systémem. Následně rozešle e-maily s výše uvedeným předmětem, textem a přílohou obsahující další kopie viru na všechny adresy z adresáře kontaktů.

Aby si uživatel zapamatoval, že příště nemá spouštět žádné soubory podobného ražení, které mu přijdou elektronickou poštou, provádí s počítačem docela zajímavé věci, včetně poškozování dat. Jmenujme například vypsání textu .IM_BESIDES_YOU_ prováděné přes buffer klávesnice, následné připojení na stránku www.youvebeenhack.com a vypsání některé z následujících zpráv FROM BUGGER, HAPPY VALENTINES DAY FROM BUGGER nebo HAPPY HALLOWEEN FROM BUGGER či vypínání a zapínání funkcí NumLock, CapsLock a ScrollLock.

Kromě toho virus zaplní veškeré volné místo na pevném disku poškodí soubory v závislosti na jejich příponě:

• VBS, VBE - zničí obsah souboru
• JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H - vytvoří nový soubor se stejným názvem, ovšem místo původní přípony bude mít tento soubor příponu EXE, zkopíruje se do tohoto souboru a smaže původní soubor
• JPG, JPEG - s tímto typem souborů udělá virus totéž, co se soubory v předchozím bodě, rozdíl je pouze v tom, že zachová původní název souboru včetně jeho přípony, za kterou přidá další příponu EXE.
• MP2, MP3, M3U - vytvoří nový soubor se stejným názvem a příponou, přičemž za původní příponu přidá příponu EXE. Do tohoto souboru pak zapíše svůj kód a původnímu souboru nastaví atribut "skrytý".