W32.Naked.A: Nenechejte se zlákat nahou ženou!
W32.Naked.A (některé zdroje uvádějí názvy jako I-Worm.Naked.A nebo W32.HLLW.JibJab) je další z kategorie červů šířících se prostřednictvím elektronické pošty a hrajících na důvěřivost uživatelů, kteří s ochotou spouštějí vše, co jim přijde e-mailem. Naked se tváří jako klip naprogramovaný ve Flashi a ke svému šíření potřebuje, jak je již zvykem, poštovního klienta MS Outlook. Co je důležité, že tentokrát nejde jen o nějakou "nevinnou hříčku" pouze rozesílající sebe sama, ale o program, který maže systémové soubory a způsobuje tak nefunkčnost operačního systému. Radost z tohoto viru budou mít tedy pouze ti, kdož si libují v přeinstalovávání Windows.
E-mail obsahující tento virus poznáte velice snadno - bude mít předmět Fw: Naked Wife, text My wife never look like that! ;-) Best Regards (tj. Moje žena nebude nikdy vypadat jako tahle. Se srdečným pozdravem...) následovaný jménem uživatele, z jehož Outlooku se virus rozeslal, a v příloze bude 73728 bajtů velký soubor NakedWife.exe. Není snad nutné zdůrazňovat, že jakoukoli přílohu, která je zcela evidentně spustitelným programem, skriptem nebo dokumentem, neotevíráme bez předchozí kontroly pravidelně aktualizovaným antivirovým programem.
Co se stane, když uživatel napříč varování přílohu otevře? Nejprve se zobrazí okno Macromedia Flash Player s logem společnosti JibJab Media Inc., které simuluje nahrávání klipu naprogramovaného ve Flashi. Společnost JibJab Media pochopitelně nemá s virem nic společného a její viceprezident John Nugent vyjádřil své rozhořčení nad tím, že logo bylo zneužito takovýmto způsobem. V okně se pak dokola objevuje hláška Loading. Jestliže kliknete na Help-About Windows, zobrazí se zpráva You're are now F***ED. (c) 2001 by BGK (Bill Gates Killer).
Během simulace nahrávání se místo slibované erotické podívané červ na pozadí nejprve pokusí rozeslat sám sebe prostřednictvím e-mailu na všechny adresy, které najde v adresáři kontaktů MS Outlooku. Jak takový e-mail rozeslaný virem W32.Naked.A vypadá jsme si popsali výše.
Následně začne virus provádět podstatně horší věci - bude mazat soubory .INI, .LOG, .DLL, .EXE, .COM a .BMP uložené ve složce Windows a .INI, .LOG, .DLL, .EXE a .BMP ve složce Windows\System. Jak je vidět, v seznamu nechybí ani programy a dynamické knihovny a ačkoli se díky běžícímu systému nepodaří smazat všechny soubory uvedených přípon, stačí to k tomu, aby se operační systém zhroutil a nebyl schopný startu. Jedinou cestou, jak vše uvést do provozuschopného stavu, je reinstalace Windows. Virus se tedy nikam neukládá a nezapisuje se do registrů - po spuštění provede to, co mu jeho autor zadal a tím jeho práce končí.
Již během úterý zaznamenaly hlášení o tomto viru všechny antivirové společnosti. Hned první den přišly informace o infikaci z několika desítek organizací přičemž nejčastěji byly postiženy počítače americké armády, odkud se tento červ patrně začal šířit do celého světa.
Novinka vzdáleně připomíná nepříliš starého červa MyBa, který se ale zaměřoval na soubory, jež nejsou nezbytně důležité k běhu operačního systému. Velký podíl na šíření virů mají v poslední době vhodně zvolené názvy souborů, přes které se viry šíří - počínaje ILoveYou, přes Annu Kournikovovou, MYBABYPIC až po NakedWife. Autor viru tedy kromě znalostí virové problematiky musí mít i jisté vlohy pro sociální inženýrství, aby zvolil natolik zajímavý název, který uživatele naláká k pokud možno okamžitému otevření přílohy. Zajímavé je, že zatímco ILoveYou byl název oslovující jak muže, tak ženy, současné viry se "zaměřují" především na mužskou část internetové populace. Na neopatrné uživatele tedy číhá další past a tentokrát je to past opravdu nebezpečná. |
