Červi, kterým lidé sami pomáhají

E-mailoví červi stále přicházejí. Tu houšť, tu řidčeji, tu zajímaví, tu nudní... Dnes se podíváme na dvojici š...


E-mailoví červi stále přicházejí. Tu houšť, tu řidčeji, tu zajímaví, tu
nudní... Dnes se podíváme na dvojici škodlivých kódů, které se objevily
relativně nedávno a které za zmínku rozhodně stojí. Ten první už třeba proto,
že se šíří v podobě souboru s koncovkou .zip.
Ani v jednom z dále zmíněných případů nejde o kódy, které by využívaly nějaké
nové chyby e-mailových klientů. Právě naopak jeden z nich se drze spoléhá na
to, že s ním uživatel bude před spuštěním ještě chvíli manipulovat.

Cervivec
Oním "drzým" červem je e-mailový kód Cervivec. Jedná se o EXE soubor napsaný v
Delphi a komprimovaný pomocí utility UPX. Nešíří se přímo v otevřeném EXE
souboru, ale v jeho zazipované variantě. Není ale třeba se předčasně děsit
nejedná se o pokus (jakýsi "proof of concept" zkouška, že to jde) se
zavirováním zip archivu. Jde pouze o to, že uživatel musí škodlivý kód nejprve
extrahovat z archivu a až poté spustit navzdory této relativně komplikované
proceduře a vysoké míře nutnosti spolupráce se ovšem Cervivec poměrně úspěšně
šířil.
Navíc neznámý autor přišel ještě s jedním a v tomto případě jistě přínosným
(alespoň pokud jde o možnost šíření) nápadem: Cervivec si kontroluje domény
e-mailových adres, na které se odesílá. Podle nich pak volí jazyk textu zprávy,
přičemž na výběr má z celkem osmi možností (čeština, slovenština, němčina,
francouzština, ruština, angličtina, polština a španělština). Text v českém
(tedy u nás samozřejmě nejrozšířenějším) jazyce má podobu:
Předmět: Vtip
Text: Cau posilam ti cerviky tak se na to podivej (virus to neni) Poté, co
uživatel zazipovaný soubor (worms.zip) uloží na disk, vyextrahuje z něj program
(worms.exe) a spustí jej, je v adresáři Windows/System32 vytvořen soubor
ntkrnl.exe. Odkaz na něj je uveden i v registrech. Po této instalaci do
napadeného počítače dochází k zobrazování dialogového okna s dotazem, zdali
máte zájem o červíky a s možností odpovědí Ano/Ne. Zvolíte-li Ne, nic se
neděje, ale pokud dáte Ano, začne se obrazovka postupně zaplňovat
různobarevnými červíky. V každém případě ale v tomto okamžiku dochází také k
šíření vlastního škodlivého kódu na kontakty v adresáři e-mailového a ICQ
klienta. A to je vše. Cervivec tedy neobsahuje žádnou destrukční rutinu a mimo
grafických efektů se jen šíří.

Zircon
Druhým z e-mailových červů, které zde představíme, je Zircon (někdy také
označovaný jako Fbound). Také on (podobě jako Cervivec) neprovádí v počítači
žádné skopičiny, ale pouze se šíří dál.
Zircon je soubor typu PE.EXE (Portable Executable) o velikosti 12 kilobajtů
napsaný v assembleru. Jím vygenerovaná zpráva má předmět Important nebo jeden
ze sedmnácti předdefinovaných japonských textů (tyto jsou ovšem použity jen v
případě, že doména e-mailové adresy končí na .jp). Tělo zprávy je prázdné a
příloha má název patch.exe. Zircon nevyužívá žádnou bezpečnostní díru, takže ke
spuštění mu musí uživatel pomoci poklikáním.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.