Konec října přinesl devět nových virů
Uplynulý týden se opět objevila celá řada nových virů, které mohou zkomplikovat život zejména všem uživatelům Internetu. Současné trendy se dají shrnout do několika bodů:
- šíření elektronickou poštou (zpravidla vytažením adres z adresáře MS Outlooku).
- využívání síťových prostředků (sdílených disků a složek s povolenou možností zápisu).
- automatická aktivace při zobrazení zprávy v nejčastěji používaných e-mailových klientech (tj. MS Outlook a Outlook Express).
Základní obrana proti potenciálnímu nebezpečí tedy kromě instalace antivirového programu spočívá v instalaci bezpečnostních záplat a opatrnosti při spouštění příloh e-mailových zpráv.
VBS.Masteal.Trojan
Trojský kůň napsaný v populárním VB Scriptu. Nepříjemný je v podstatě pouze tím, že sbírá e-mailové adresy a odesílá je do Internetu. Po spuštění zkopíruje všechny adresy z adresáře MS Outlooku do souboru c:\shell.dll.txt a následně tento soubor rozešle na několik adres nadefinovaných autorem viru. Dá se předpokládat, že takto získané kontakty míní autor použít k zasílání nevyžádaných mailů.
W32.Redesi.B@mm
Červ používající oblíbenou techniku založenou na důvěřivosti uživatelů. Rozesílá se elektronickou poštou s tím, že se vydává za bezpečnostní záplatu od Microsoftu. I když Microsoft nikdy nerozesílal podobné věci mailem, stále se najde dost uživatelů, kteří přílohu spustí a infikují svůj počítač.
Virus byl napsán ve Visul Basicu a je zkomprimován pomocí UPX. Po spuštění se nejprve zkopíruje do souborů C:\Common.exe, C:\Rede.exe, C:\Si.exe, C:\UserConf.exe a C:\Disk.exe a nastaví těmto souborům příznak "skrytý". Následně zobrazí dialogové okno s textem Your Windows Update has been successful a rozešle na všechny adresy z adresáře MS Outlooku zprávu s předmětem: Important news from Microsoft. Just recieved this in my email I have contacted Microsoft and they say it's real ! a textem Due to the recent spate of email spread computer viruses Microsoft Corp has released a security patch. Please apply the attached file to your Windows computer to stop any futher spread or these malicious programs. Regards Microsoft Support. Přiložen je jeden z výše zmíněných souborů, který je samozřejmě další kopií viru.
Kromě toho Redesi.B modifikuje registry tak, aby se spouštěl současně s operačním systémem a 11. listopadu 2001 přidá do souboru autoexec.bat dva řádky: první při startu počítače zobrazí textovou hlášku, druhý obsahuje příkaz ke zformátování disku C. Tato funkce nefunguje pod Windows řady NT, 2000 a XP, neboť zmíněné operační systémy soubor autoexec.bat nepoužívají.
VBS.Dayumi
V tomto případě se jedná spíše o programátorskou hříčku, než o opravdový virus. Pokud aktivujete infikovaný skript, zkopíruje se virus do souboru C:\Windows\System\Mskernel32.vbs, následně vytvoří v oblíbených položkách a na ploše zástupce směřujícího na webové stránky autora a přenastaví tamtéž domovskou stránku Internet Exploreru. Jestliže uživatel uvede vše do původního stavu, Dayumi po dalším startu systému provede vše znovu, což si zajišťuje úpravou registrů.
W32.DpBot.Trojan
Trojský kůň jehož jediným cílem je šíření sebe sama. Nezpůsobuje tedy žádné škody, nicméně i přesto je dobré si na něj dávat pozor. K šíření používá kanálů IRC a v případě spuštění se kopíruje do souboru C:\Windows\System\Bckfired.exe, který aktivuje při každém startu systému.
W32.Toal.A@mm
Tento virus, označovaný též jako W32.AntiWar, patří do kategorie více nebezpečných. Jedná se o červa šířícího se skrze elektronickou pošu v souboru Binladen_brasil.exe. Zpráva má náhodně generovaný předmět, který poukazuje na situaci v Afganistánu a neobsahuje žádný text.
Využívá známé bezpečnostní díry v programech MS Outlook a Outlook Express díky které se aktivuje již pouhým otevřením zprávy nebo zobrazením náhledu (záplatu a informace o této díře můžete najít na http://www.microsoft.com/technet/security/bulletin/MS01-020.asp).
Po spuštění nejprve prověří, zda je již počítač infikován a v případě negativního výsledku vytvoří v systémové složce soubor Invictus.dll zajišťující infikaci spustitelných souborů včetně programů uložených na sdílených discích. Kromě toho nastavuje sdílení disku C. Dále vytváří soubor jehož název se skládá ze tří náhodných písmena a přípony exe, který aktivuje při každém startu operačního systému (toho dosahuje změnou shell=Explorer.exe za shell=Explorer.exe vytvořený_soubor.exe v System.ini). K vyhledávání spustitelných souborů používá nedokumentované API funkce správce úloh.
Poněkud netradiční je způsob, kterým tento virus získává e-mailové adresy ke svému rozesílání - nepoužívá adresář MS Outlooku, nýbrž prohledává tzv. "White Pages" ICQ, kde jsou k nalezení kontakty na uživatele komunikačního programu ICQ. K rozesílání infikovaných zpráv nepotřebuje klienta elektronické pošty a připojuje se přímo k SMTP serveru uživatele, kterému zprávu adresuje.
V operačních systémech Windows 95 navíc ukládá cachovaná hesla pro přístup k síťovým prostředkům.
Z dalších funkcí jmenujme například pokusy o deaktivaci antivirového programu, náhodnou změnu pozadí pracovní plochy a barvy textů, zobrazování dialogových oken a vykreslování čtyřúhelníků na obrazovku.
Backdoor.Oblivion
Trosjký kůň umožňující neautorizovaný přístup k počítači. Po spuštění se zkopíruje do systémové složky jako ZipLoader32.exe a jednoduchou modifikací registrů a souborů System.ini a Win.ini zajistí své spuštění při každém startu operačního systému.
W32.Anset.Worm
Internetový červ napsaný v programovacím jazyce Delphi šířící se e-mailem v příloze Ants3set.exe, přičemž se vydává za freewarový vyhledávač trojských koňů. Ke své distribuci využívá adresy získané z adresáře kontaktů MS Outlook.
Pokud spustíte přílohu, zkopíruje se virus pod náhodným jménem do složky Windows. Následně si vytáhne z adresáře kontaktů všechny adresy a rozešle na ně zprávu s předmětem ANTS Version 3.0 a textem Hi, Anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen kostenlosen Trojanerscanner. Zum installieren einfach die angefügte Datei ausführen. Attached you will find the brand new Version 3.0 of ANTS, the unique freeware trojan scanner. To install ANTS simply run the attached setup file.
Kromě šíření neprovádí žádnou nebezpečnou činnost ani nepoškozuje data uložená v počítači.
W32.ElKern.3326
Souborový virus napadající programy ve složce Windows\System používající ke svému šíření otevřená sdílení a mapované disky. Pod Windows NT a 2000 virus nefunguje, při spuštění pod Windows 9x v případě, že máte přístup k síťovým diskům se zakázaným zápisem, způsobí pád systému.
Po spuštění se kopíruje do systémové složky jako soubor wqk.exe (pro Windows 9x/Me) nebo wqk.dll (Windows NT/2000). Poté provede úpravu registrů, která má zajistit jeho spuštění při každém startu operačního systému. Z důvodu chyby se mu však pod Windows NT a 2000 úprava registrů nepodaří.
Hlavní činnost spočívá v pokusech o infikaci spustitelných souborů uložených v systémové složce, které opakuje v náhodné periodě. Při vyhledávání používá metody umožňující rozpoznat spustitelný soubor aniž by tento soubor musel mít příponu exe (přesto podle zpráv nenapadá soubory s příponou dll).
W32.Klez.A@mm
Další poměrně nebezpečný e-mailový červ označovaný též jako W32.Poverty.A, který kromě dalších funkcí používá ke svému šíření sdílené síťové složky a infikuje programy virem W32.ElKern.3326. Podobně jako výše zmiňovaný W32.Toal využívá bezpečnostní díry v programech MS Outlook a Outlook Express umožňující aktivaci pouhým zobrazením náhledu nebo otevřením zprávy. Patrně nejzákeřnější činností tohoto viru je smazání obsahu všech souborů na lokálních a sdílených discích každého třináctého dne v měsíci (tyto soubory sice zůstanou na disku, ovšem budou mít nulovou velikost).
Zpráva obsahující virus má náhodně generovaný předmět a v příloze spustitelný 57345 bajtů velký soubor. V případě spuštění se tento soubor zkopíruje do systémové složky jako krn132.exe a přes registry si zajistí spouštění při každém startu operačního systému. Dále se pokusí deaktivovat antivirové skenery, prohledat všechny lokální a síťové disky a zkopírovat se na ně jako soubor s náhodným jménem a zdvojenou příponou (tj. například soubor.txt.exe). Nakonec rozešle na všechny adresy z adresáře zprávu s textem I'm sorry to do so,but it's helpless to say sorry.I want a good job,I must support my parents. Now you have seen my technical capabilities. How much my year-salary now? NO more than "5,500. What do you think of this fact? Don't call my names,I have no hostility. Can you help me?
Tento text se zobrazí správně pouze v e-mailových klientech s podporou HTML přičemž při otevření v MS Outlooku či MS Outlook Expressu bez nainstalované bezpečnostní záplaty může dojít k automatickému spuštění přílohy. |
