A ještě uživateli nadává...

Uživatel je "Idiot with a Virus". To alespoň tvrdí nový internetovský "červ" SysClock, který hlášku "Idiot with a Vir...


Uživatel je "Idiot with a Virus". To alespoň tvrdí nový internetovský "červ"
SysClock, který hlášku "Idiot with a Virus" (Idiot s virem) nastavuje do
Windows jako "Uživatele". Není to ovšem jeho jediný projev.
Červ SysClock "leze" do počítačů skrze e-maily (ve formě přílohy spolu s
podvodnou důvěryhodně se tvářící zprávou) a IRC kanály. Poslední dobou je tento
druh útoku stále hojněji využívaný pro svou rychlost a relativně nízkou
náročnost.
K nejzávažnějším projevům tohoto červa patří prachsprostá zlodějna "krade"
uživatelská hesla ze souborů PWD. Mimo to se projevuje ještě několika způsoby,
kterých má v zásobě celou širokou paletu, a to od neškodných až po poměrně
nebezpečné.
Jak již bylo uvedeno, do počítače se dostává nejčastěji e-mailem s přiloženým
souborem, který se jmenuje pkzip.exe. Jakmile jej spustíte, začne se instalovat
do systému. Tato instalace probíhá tak, že se nakopíruje pod jménem kernel.exe
do adresáře Windows (na platformách Windows 95/98) nebo do systémového adresáře
Windows (NT) a do registru zapíše příkaz pro samospouštění:
SOFTWAREMicrosoftWindowsCurrentVersionRunSysClock=ker nel.exe
Infikace počítače
Infikování počítače se děje tak, že červ napadne dohromady kolem 40 souborů,
přičemž neinfikuje více než čtyři soubory při každém spuštění. SysClock má
navíc ještě další instalační rutinu, která zajistí rozšíření jeho kopií na
všechny disky, které jsou k dispozici (tedy nejen lokální, ale i síťové). Při
infekci přenosných disků na nich vyhledává soubor autoexe.bat, přidává do něj
povelový řádek pkzip.exe a nakopíruje se na disk do souboru pkzip.exe.
Při infikování pevných disků hledá SysClock soubor pkzip.exe v kořenovém
adresáři, a pokud je neúspěšný, nakopíruje jej sem. Aby si zajistil pravidelné
spouštění, vytváří soubor autoexec.inf s příkazem umožňujícím spuštění pkzip.
exe při příštím restartu Windows:
[autorun]
open=pkzip.exe
Při infikování síťových disků se nakopíruje do souboru pkzip.exe a vytvoří
autoexec.inf. Dále pak postupuje podobně jako při infekci lokálního počítače. V
jednom detailu se však útok na síťové disky přece jen od lokálního napadení
odlišuje: Červ přepisuje nejčastěji spuštěné aplikace svou kopií, což mu
zaručuje pokud možno co nejčastější spuštění.
Napadání se děje tak, že SysClock přejmenuje soubor-oběť náhodným osmimístným
jménem a exe příponou (např. utgepqqa.exe, rothasds.exe) a sám sebe umístí pod
jménem původního souboru na jeho místo. Výsledkem této akce je skutečnost, že
se červ spustí vždy, volá-li uživatel takto "podstrčený" soubor. Původní jména
souborů jsou přitom uchovávána v registru (což je velmi důležitá informace pro
dezinfekci počítače):
HKCUAppEventsSchemesApps.DefaultSystemStartWindows.
(Např.C:WIN95calc.exe"utgepqqa.exe", C:WIN95mplayer.exe"rot hasds.exe".)
Další infekční rutinou je napadení mIRC klienta a šíření se přes IRC kanály.
Tato funkce je ovšem vykonána v závislosti na systémovém čase, nikoliv při
každé příležitosti. SysClock hledá na disku C: v adresářích MIRC, MIRC32,
PROGRAM FILESMIRC a PROGRAMFILESMIRC32 soubor script.ini. Pokud neexistuje
(nebo existuje, ale mimo uvedené adresáře), je infekční rutina opuštěna. Pokud
existuje, připíše do script.ini instrukci, která zajistí poslání souboru
pkzip.exe každému, kdo začne s infikovaným uživatelem sdílet IRC kanál.
Projevy viru
Jak již bylo na počátku materiálu uvedeno, SysClock "vykrádá" soubory s
uživatelskými hesly. Červ si je ukládá do svého těla. Výsledkem je, že takto
získaná kořist opouští počítač jen v případě, když se SysClocku podaří šířit
mimo něj.
Krádež hesel je jedním, nikoliv však jediným projevem přítomnosti tohoto červa
v počítači. Mezi další projevy patří např.
l změna nastavení Internet Exploreru, konkrétně jeho startovací stránky na
www.whitehouse.com a stránku vyhledávací na www.bigboobies.com; navíc znemožní
updatování Internet cache
l nastavení www.gayextreme.com/queer/handle-it.html na první místo mezi
naposledy navštívenými stránkami
l nastavení uživatele programu na "Idiot with a Virus" a organizace na
"Registry Rage Virus c 1999".
Virus toho umí ještě více, ale spíše než si nechat předvádět toto představení,
je lepší se setkání s ním vyhnout. Na to je jediný recept (ostatně stejný jako
v případě jakýchkoliv jiných e-mailových virů): Nikdy neotevírejte žádné
nevyžádané přílohy k e-mailové zprávě.
9 3263 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.