Leave - další "zatím" laboratorní virus

Poslední dobou se stále častěji setkáváme s tzv. laboratorními počítačovými viry. Jsou to viry, na kterých jejich známí či neznámí tvůrci ukazují svoje možnosti a programátorské dovednosti.

Situace tedy může vypadat tak,, že se není čeho bát. Opak ale může být pravdou, od příkladu realizace viru není většinou daleko k jeho praktickému uplatnění v rámci opravdu škodlivého "drobečka", který vám bez okolků a bez ptaní "spořádá" vaše data na vašem počítači a připraví vás tak o plody vaší často dlouhé práce.

Zatím poslední novinkou, která patří do zmiňované skupiny je virus W32/Leave. Neobsahuje sice žádnou výraznou škodlivou rutinu a dosud nebyl zaznamenán "In The Wild", ale může být jen otázkou času, kdy se ukáže něco podobného s mnohem ničivějšími následky.

W32/Leave je červ šířící se prostřednictvím infikované přílohy e-mailu nebo prostřednictvím IRC serveru. Skládá se celkem ze tří komponent a ovládá také některé dovednosti trojského koně SubSeven.

W32/Leave.worm

Jak se projevuje

Hlášení o výskytu tohoto viru "In The Wild" nejsou zatím k dispozici, ale jeho potencionální nebezpečnost je poměrně vysoká. Leave k vám může doputovat prostřednictvím e-mailu nebo přes IRC server. Podle dostupných informací se skládá ze tří komponent: BIN.DLL (22528 bytů), REGISTRY.DLL (54272 bytů) a .EXE souborů (76800 bytů), který může mít různý název. Všechny jsou zkomprimované pomocí programu UPX.

Pokud je .EXE soubor spuštěn, nejprve se nakopíruje do c:\WINDOWS\regsv.exe a vytvoří soubor c:\WINDOWS\acI3.dll, jehož obsah vypadá jako šifrovaná data. Činnost viru není vázána na složku "c:\WINDOWS\" pevně, ale umí si aktuální instalaci systému najít i v adresáři s jiným názvem.

Dále vytváří klíče registrů:

• HKU\.Default\Software\Mirabilis\ICQ\Agent\Apps\icqrun="C:\WINDOWS\regsv.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run\regsv="C:\WINDOWS\regsv.exe"
• HKLM\SOFTWARE\Classes\Scandisk\i386\i\
• HKLM\SOFTWARE\Classes\Scandisk\i386\s\

Další informace

• Network Associates
• F-Secure