A je to tady

Dlouhá léta experti z antivirových firem tvrdili, že pouhým otevřením e-mailové zprávy není možné počítač infik...


Dlouhá léta experti z antivirových firem tvrdili, že pouhým otevřením e-mailové
zprávy není možné počítač infikovat virem. Že k zavirování počítače je
bezpodmínečně nutné otevřít přílohu připojenou k elektronické poště. Bohužel se
mýlili, k infikaci počítače už nyní stačí pouhé otevřené e-mailu. A pokud máte
v prohlížeči nastavené automatické preview, nemusíte dokonce udělat vůbec nic a
přesto virus "chytnete".
První virus schopný napadnout počítač po pouhém otevření zprávy se jmenoval
BubbleBoy a objeven byl v listopadu 1999. Naštěstí nešlo o takový "zázrak", jak
by se na první pohled mohlo zdát. BubbleBoy totiž využíval již známou
bezpečnostní "díru" v MS Outlooku 98, 2000 či Expressu.
Zatímco BubbleBoy pro uživatele počítačů nepředstavoval vážnější hrozbu (byl
sice první, ale nerozšířil se), nyní v jeho šlépějích vykročil podobný zákeřný
kód a s ním se již lze setkat. Škodlivý kód jménem KakWorm (můžete se setkat i
s označením VBS/Kak, VBS/KakWorm, Wscript/Kak.A, Kak/Worm či pouze Kak) má se
svým "předchůdcem" společné dvě základní vlastnosti. Jednak se aktivuje pouhým
otevřením e-mailové zprávy a jednak pro svou činnost využívá bezpečnostní
"díry" v poštovním klientovi. V daném případě jde o MS Outlook Express, který
je součástí základního nastavení Internet Exploreru verze 5. Ovšem vzhledem k
tomu, že se jedná o známý bezpečnostní problém, ten, kdo si pravidelně shání
všechny updaty i upgrady operačního systému, může zůstat klidným.
KakWorm přichází v e-mailu, který se na první pohled tváří jako "obyčejná"
zpráva napsaná v HTML jazyce. Na první pohled přitom není přítomnost viru
jakkoliv zřejmá. Jakmile je zpráva otevřena (nebo pouze "nahlédnuta"), vložený
kód ActiveX se aktivuje. Využívá přitom známou bezpečnostní "skulinu" v IE 5
skutečnost, že Scriptlet.Typelib ActiveX je nastavený jako "bezpečný pro
skriptování". Jinými slovy jeho prostřednictvím může KakWorm (a nejen on, ale
vlastně jakýkoliv podobný škodlivý kód) například vytvářet soubory na lokálním
pevném disku. Tato vlastnost je ovšem k dispozici pouze v případě, že máte
bezpečnostní úroveň sítě Internet nastavenou na "Střední" nebo "Nízká".
Jakmile KakWorm přebírá kontrolu, umisťuje do složky C:WindowsStart
MenuProgramsStartup soubor kak.hta. Toto umístění zajišťuje, že bude soubor
proveden při dalším spuštění Windows (rebootování či pouhé přihlášení jiného
uživatele). Zároveň je také vytvořena náhodně pojmenovaná skrytá kopie souboru
kak.hta ve složce c:WindowsSystem. Koncovka HTA (HyperText Application)
reprezentuje soubory v MS binárním formátu, přičemž soubor obsahuje standardní
HTML kód. Soubory jsou asociované s programem mshta.exe (standardní součást
Windows, v žádném případě se tedy nejedná o známku virové infekce!), který
umožňuje jejich vykonání.
V okamžiku, kdy po infekci restartujete počítač, kak.hta se vykoná a připraví
si "půdu" pro další šíření. Nejprve umístí skrytý soubor kak.htm do složky
Windows na disku C. Poté zkopíruje autoexec.bat do ae.kak a nahradí jej
souborem autoexec.bat s příkazem ke svému spuštění. Poté ze systému odstraní
soubor kak.hta. Následně změní registry v nastavení poštovního klienta, takže
kak.htm je automaticky přikládán jako uživatelský podpis ke všem odchozím
e-mailovým zprávám. Dělá to tak, že do složky Windows umístí soubor kak.reg a
vykoná s ním program regedit.exe. Pokud je odchozí e-mailová zpráva v HTML
formátu, přidá se přímo do jejího těla, pokud jde o běžnou textovou zprávu,
připojí se k ní jako příloha se jménem att1.htm.
První den každého měsíce po páté hodině odpolední zobrazuje virus dialogové
okno s následujícím textem:
Kagou-Anti-Kro$oft says not today!
Bezprostředně poté vykoná knihovnu rundll32, což vede k vypnutí operačního
systému.
0 0908 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.