Červ, který se jmenuje jinak

Lirva. Ale také Avron, Naith či Avril. To všechno jsou názvy, za nimiž se skrývá jeden jediný škodlivý kód. Nezůst...


Lirva. Ale také Avron, Naith či Avril. To všechno jsou názvy, za nimiž se
skrývá jeden jediný škodlivý kód. Nezůstalo tak vyslyšeno přání jeho autora,
který nechává svůj výtvor v napadeném počítači vytvořit textový soubor, v němž
je mimo jiné napsáno: "Virus name -> AVRIL (please do not change it)".
Červ se stal známým pod výše zmíněným jménem Lirva, jehož se tedy dále budeme
držet. Byl vytvořen v MS Visual C++ a setkat se lze s několika variantami,
jejichž velikost je odlišná a kolísá v rozmezí 26 až 34 kilobajtů. Kód je
komprimovaný utilitou UPX. Pro uživatele a administrátory je dobrou zprávou, že
obsahuje chyby a není schopen za určitých okolností provést šířící rutinu.
Po vstupu do počítače se červ instaluje na pevný disk, a to pod náhodným jménem
(například 2dadd52doc.exe, ef23h672.exe). Uvedený soubor zaregistruje v klíči
autorun:
HKLMSoftwareMicrosoft WindowsCurrentVersionRun Mortimer = %jmeno%
nebo Muse = %jmeno%
(Kde "jmeno" je aktuální název souboru se škodlivým kódem.)

Šíří se dál
Prostřednictvím elektronické pošty se Lirva šíří tak, že vybírá kontakty z WAB
(Windows Address Book). Mimo to prochází všechny soubory s příponami dbx, mbx,
html, eml, htm, asp a shtml na discích a z nich extrahuje řetězce, které
vypadají jako e-mailová adresa. Na takto získané kontakty se následně rozesílá
ve zprávě s následující podobou:
Od: buď je zde uvedena reálná adresa infikovaného uživatele nebo Lirva použije
jednu z přednastavených (např. IIS Exchange Board).
Předmět: je náhodně vybraný z předdefinovaných variant (v závislosti na verzi
červa se počet možností pohybuje mezi šesti a šestnácti).
Tělo: text zprávy je v HTML formátu, vybíraný je ze tří nebo čtyř
přednastavených možností.
Příloha: také tato je vybrána z předpřipravené databáze (osm až 22 položek opět
v závislosti na verzi červa).
Lirva vytváří v adresáři Windows soubor s názvem listrecp.dll a do něho
zapisuje e-maily, na které se rozeslal. Jinými slovy: setkáte-li se s
počítačem, který byl infikován tímto škodlivým kódem, lze z tohoto souboru
zjistit, kterým směrem se vydal, a příslušné osoby varovat.
Využívá také bezpečnostní chybu IFrame, díky čemuž je škodlivý kód schopen se
na nedostatečně zabezpečeném (nezáplatovaném) počítači aktivovat při pouhém
otevření příchozí zprávy tedy bez poklikání na přílohu. Varianta Lirva.B krom
toho ještě ze složky My Documents náhodně vybírá soubory s příponou doc nebo
txt, a ty odesílá z napadeného počítače. Že přitom nedělá rozdíl mezi soubory
důvěrnými a určenými ke zveřejnění, jistě netřeba dvakrát rozvádět.
Šíření po lokální síti probíhá tak, že se Lirva nakopíruje do všech dostupných
adresářů Recycled (Odpadkový koš) a následně modifikuje soubor autoexec.bat
tak, aby při nejbližším (re)startu počítače byl aktivovaný. Pokud je některý z
disků na síti sdílený, ale neobsahuje složku odpadkového koše, pak se škodlivý
kód zapisuje přímo do rootu a autoexec.bat příslušným způsobem upravuje.
Ve verzi B a C je Lirva schopen využívat pro své šíření světem také ICQ a IRC.
Dalším způsobem šíření, kterým tento škodlivý kód disponuje, je možnost
využívat síť sdílení KaZaa.

Červí projevy
Červ je schopen odcizovat z infikovaného počítače hesla. Všechna umístí do
e-mailové zprávy, kterou pomocí poštovního klienta odesílá na adresu otto
_psws@pochta.ws. Zpráva má přitom předmět Password Got.
Toto ale není jeho jediný projev: když systémové datum ukazuje 7. nebo 27.
kteréhokoliv měsíce (varianta B i jedenáctého), projeví se Lirva náhodnými
pohyby kurzoru myši po pracovní ploše a opakovaným otevíráním webové stránky
http://www.avril-la vigne.com (Avril Lavigne je nová poprocková hvězdička). Z
ní se snaží stáhnout do počítače svou vlastní novější verzi. Krom toho se Lirva
pokouší ukončovat běžící procesy firewallů a antivirových programů.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.