Anna Kurnikovová a nahá žena

Metod sociálního inženýrství využily ke svému značnému rozšíření dva škodlivé kódy, které spatřily světlo s...


Metod sociálního inženýrství využily ke svému značnému rozšíření dva škodlivé
kódy, které spatřily světlo světa během uplynulého roku. Snažily se zapůsobit
na uživatele počítačů tak, aby zvědavost zvítězila nad opatrností a pudem
sebezáchovy, a aby tak spustili přílohu u zprávy elektronické pošty. Dlužno
podotknout, že se jim to podařilo.

První z těchto škodlivých kódů dostal "novinářské" jméno Anna Kurnikovová
(antivirové programy jej detekují i pod různými jinými názvy, jako např.
Onthefly, VBSWG, Lee.O, SST či Kalamar). Jedná se o červa napsaného ve Visual
Basic Scriptu, který se masově šíří využívaje MS Outlooku. Poprvé byl
zaznamenán 12. února 2001 a během jediného dne dokázal obletět celý svět.
Rychlejšímu šíření počítačových virů už stojí v cestě jen jedna jediná překážka
časová pásma. Uvedeným virům totiž musí pomoci uživatelé tak, že je spustí a
pokud je někde noc, nemá virům kdo pomáhat.
Přes své masové rozšíření (rozsahem srovnatelné s Melissou v roce 1999) ovšem
Kurnikovová nenatropila větší škody, neboť nepůsobí žádné přímé poškozování.
Šíří se v elektronické zprávě s následující podobou:
Předmět: Here you have, ;o)
Tělo: Hi: Check This!
Příloha: AnnaKournikova.jpg.vbs

Spousta uživatelů počítačů se v domnění, že jde o atraktivní fotografii neméně
atraktivní tenistky, pokoušelo přílohu otevřít a tím aktivovali virus. Ten po
svém spuštění nejprve přidá do registrů následující klíč:
HKEY_CURRENT_USERSoftwareOnTheFly = "Worm made with Vbswg 1.50b"
Potom se červ nakopíruje do adresáře Windows do souboru se jménem
AnnaKournikova.jpg.vbs a odešle se na všechny kontakty uvedené v adresáři MS
Outlooku. Do registrů následně zapíše poznámku o úspěšném rozšíření, takže
rozesílací rutinu již podruhé neprovede:
HKCUsoftwareOnTheFlymailed
Akce provedená Annou Kurnikovovou je ve srovnání s jinými destruktivními kódy
relativně příjemná. Vždy, když systémové datum počítače ukazuje 26. ledna, červ
otevírá webový prohlížeč a pokouší se spojit se stránkou www.dynabyte.nl (s
virem nemá zhola nic společného, jde o Web jistého obchodu s počítači v
Nizozemí).
Nepříjemnou skutečností ale je, že činnost tohoto červa končí vždy v nekonečné
smyčce. Sled instrukcí měl asi původně sloužit k ohlídání existence souboru s
virem v infikovaném počítači (a v případě smazání k jeho obnově), ale chybička
se vloudila.
Červ Kurnikovová byl vytvořen známým virovým generátorem VBSWG, výsledný kód
byl navíc obohacen o jednoduché zašifrování těla viru a příslušnou dešifrovací
smyčku. Přestože výtvory tohoto generátoru by měly být bez potíží detekovatelné
každým slušným antivirovým programem, červ se velmi rozšířil. Důvodem může být
buď nesprávné používání ochranných programů, nebo absolutní nekázeň uživatelů,
kteří soubor u e-mailové zprávy spouští i přes varování antivirového programu.

Nahá žena
Dalším škodlivým kódem využívajícím sociálního inženýrství je NakedWife (Nahá
žena). Šíří se stejným způsobem jako Kurnikovová, a to za pomoci adresáře v MS
Outlooku. Jinak jde o aplikaci Win32 dlouhou 70 KB a napsanou ve Visual Basicu.
Jakmile je soubor NakedWife.exe spuštěn (tedy pokud uživatel klikne na
připojený soubor e-mailové zprávy), červ pošle své kopie e-mailem a následně
vykoná destrukční akci. Její podstata spočívá v tom, že smaže všechny soubory s
příponou ini, log, dll, exe, com, bmp v adresáři Windows a všechny ini, log,
dll, exe a bmp v systémovém adresáři Windows.
Červ NakedWife se neinstaluje do systému, stejně tak nechává nedotčený
systémový registr jedná se o kód přímé akce. Jinými slovy vykoná svou rutinu,
jen když je aktivován. Sice se nakopíruje do adresáře Temp ve Windows, ale tuto
kopii nikdy nepoužije.
Po svém spuštění červ zobrazí okno s obrázkem Macromedia Flash Playeru, který v
nekonečné smyčce zobrazuje "Loading", "Loading.", "Loading..". Pokud se
uživatel pokusí spustit některé nabídky v menu, nepodaří se mu to kromě jediné.
Tou je možnost "Help", při jejímž vyvolání se zobrazí dialogové okno s
vulgárním nápisem.
E-mailový červ NakedWife je rozesílán v exe souboru jako příloha zpráv s
Předmětem:
Fw: Naked Wife
1 2059 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.