Červ, který si hraje s příponami

Myba je internetový červ, který se šíří prostřednictvím e-mailových zpráv obsahujících coby přílohu jeho škodl...


Myba je internetový červ, který se šíří prostřednictvím e-mailových zpráv
obsahujících coby přílohu jeho škodlivý kód. Pro svůj život využívá MS Outlook
a rozesílá se na všechny kontakty, které jsou uložené v adresáři (Address
Book). Až potud jde o popis hodící se na desítky dalších e-mailových červů Myba
toho ovšem umí mnohem více.
Jedná se o škodlivý kód napsaný ve Visual Basicu. Podle některých znaků lze
usuzovat, že jeho autor velmi vydatně využil již existující skript z červa
Iloveyou (výkonné rutiny a sekvence příkazů jsou u obou programů nápadně
podobné). Projevy červa
Jakmile je červ spuštěn (tedy pokud uživatel klikne na infikovanou přílohu),
Myba se nejprve pojišťuje proti vymření, a to tak, že se vydává do dalších
počítačů pomocí následující zprávy elektronické pošty:

Předmět: My baby pic!!!
Tělo: Its my animated baby picture!!
Příloha: mybabypic.exe
Následuje vlastní napadení systému. Červ vytvoří své kopie v systémovém
adresáři Windows (winkernel32.exe, mybabypic.exe, win32dll.exe, cmd.exe,
command.exe) a některé z nich zapíše do registrů, čímž zajistí jejich aktivaci
při každém (re)startu počítače:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunmybabypic = %Systém%
mybabypic.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWINKernel32 = %Systém%
WINKernel32.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices = % Systém%
Win32DLL.exe
Kde %Systém% je aktuální umístění systémového adresáře Windows.
Myba také vytváří registrační klíč:
HKCUSoftwareBugger
Default = HACK[2K]
mailed = %číslo%

Položka %číslo% je číslo od 0 do 3 záležející na tom, jakou akci právě červ
provádí (instalace, šíření či aktivace své rutiny). Dovednosti Myby jsou přitom
poměrně značné a k jejich aktivaci dochází v závislosti na systémovém datu a
čase. Může zapínat a vypínat klávesy NumLock, CapsLock a ScrollLock. Může
vypisovat text ".IM_BESIDES_YOU_". Může se také spojovat se serverem
www.youvebeenhack.com a náhodně na něj poslat jeden ze tří "vzkazů":
FROM BUGGER
HAPPY VALENTINES DAY FROM BUGGER
HAPPY HALLOWEEN FROM BUGGER

Hrátky s příponami
Myba dále poškozuje a/nebo manipuluje se soubory na pevných discích počítače.
Prohledává všechny adresáře na dostupných discích a v závislosti na koncovce
souboru provádí následující akce:
VBS, VBE bez milosti likviduje jejich obsah.
JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H u těchto přípon vytváří nový
soubor s originálním jménem, ke kterému přidá příponu .exe a nakopíruje do něj
své tělo. Poté původní maže (např. text.cpp bude pro příště text.exe).
JPG, JPEG s těmito formáty dělá červ totéž co v předchozím případě, jen s tím
rozdílem, že u názvu souboru ponechává před příponou exe i koncovku původní
(obrazek.jpg bude obrazek.jpg.exe).
MP2, MP3, M3U Myba v případě těchto typů souborů vytváří nové s příponou exe
(hit.mp2 bude hit.mp2.exe). Do těchto nových souborů zapíše svůj kód, přičemž
původní soubory nelikviduje, ale pouze nastavuje jejich atributy na hodnotu
skrytý (hidden).

Oblíbený vzor
Oblíbeným vzorem pro tvůrce počítačových škodlivých kódů je virus Iloveyou. K
jeho zajímavým variantám patří ta, která do zprávy elektronické pošty vypsala
zhruba toto: "Děkujeme Vám, že jste si u nás objednal květiny ke Dni matek.
Květiny doručíme na Vámi uvedenou adresu. Částku 326 dolarů 90 centů strhneme z
Vašeho účtu, doklad naleznete v přiloženém souboru. Děkujeme." K rozšíření
tohoto viru přispělo pravděpodobně především rozhořčení uživatelů, které jim
zabránilo zamyslet se nad možnými důsledky otevření přílohy dříve, než tak
učinili.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.