Cybernet: Univerzální makrovirus

Makroviry, které jsou určené pro více aplikací, asi už překvapí jen málokoho. Známe i makroviry schopné "cestovat" ...


Makroviry, které jsou určené pro více aplikací, asi už překvapí jen málokoho.
Známe i makroviry schopné "cestovat" mezi různými aplikacemi navzájem (Word
Excel Power Point). Jedním z nejnovějších přírůstků do této kategorie je
škodlivý kód Cybernet.
Není sice prvním podobným "výtvorem", který spatřil světlo světa, ale rozhodně
není nezajímavým. Jedná se o makrovirus vytvořený pro prostředí MS Office
97/2000, přičemž je škodlivý kód schopen zasahovat (a mimo to i vzájemně
křížově napadat) dvě nejpoužívanější aplikace Word a Excel. Cybernet se umí
rozesílat
také e-mailovými zprávami za pomoci MS Outlooku 98/2000.
Šíří se pomocí sady maker: Wordovské se váže na funkci Document_Open, další dvě
excelovská na Wordbook_Open a Wordbook_Deactivate. Zbývající makra obsahují
vlastní kód viru, v němž je mj. čitelný i následující "copyrightový" text:
W97M/CyberNET (C)2000 Indonesia By AnomOke!
Im NOT Responsible For Any Damage That Posible Cause By My Virus...!!!
Výše zmiňovaná makra se přitom automaticky aktivují vždy v okamžiku, kdykoliv
je otevírán dokument Wordu nebo tabulka Excelu. Po aktivaci si Cybernet nejprve
"zpevní půdu pod nohama" čili zruší ochranu před makroviry v obou dvou
aplikacích. Poté spustí svou e-mailovou šířící rutinu. Tu vykonává tak, že v MS
Outlooku získává přístup do Address Booku, z nějž získává adresy a rozesílá
infikovaný e-mail se svou kopií na prvních padesát kontaktů v seznamu (něco
podobného dělala i dnes již legendární Melissa). Kopie viru je přitom umístěna
v infikovaném wordovém nebo excelovém dokumentu. Infikovaná zpráva má přitom
následující podobu:
Předmět: Youve GOT Mail !!!
Zpráva: Please, saved the document after you read and dont show to anyone
else. The document is also VIRUS FREE...so DISREGARD the virus protection
warning !!!
Projevy viru
Jméno připojeného souboru se liší, protože virus používá jméno některého z již
existujících dokumentů v počítači. Po vykonání této rutiny si virus vytvoří
záznam v systémovém registru, aby zabránil dvojímu či vícenásobnému rozesílání
zpráv z jednoho infikovaného počítače.
Vraťme se ale zpět od šířící rutiny do napadeného počítače. Po vypnutí ochrany
před makroviry pozmění globální šablonu normal.dot, což umožní infikovat
veškeré dokumenty, s nimiž Word pracuje. Poté smaže všechny soubory *.xl? a
*.do? ve složce "Startup".
Virus si s sebou nese velmi nebezpečné "poslání". Jedna rutina je aktivována
pokaždé, kdykoliv systémový kalendář v počítači ukazuje 17. srpna nebo 25.
prosince. Podle toho, z jaké aplikace je tato rutina aktivována, projeví se pro
uživatele rozdílnými vizuálními efekty. Pokud dojde k aktivaci Cybernetu z
Wordu, vytvoří virus v aktivním dokumentu přes sedmdesát různých objektů
rozdílných tvarů nahodilých barev, rozměrů a poloh. Souběžně s tím dochází k
aktivaci dialogového okna s jedinou volbou "Ok" a textem:
Assalamualaikum Li Kulli Muslim. Moslem Power Never End.
Nothing Can Stop <<CyberNET>> Virus. Your System Has Already Infected!!!
Now. I Am Outta Here.
Pokud dojde k aktivaci Cybernetu z Excelu, je do aktivního listu do různých
buněk celkem třicetkrát vložen nápis "(C)2000 CyberNET From Indonesia" v
různých velikostech písma.
Následující úkon má infekční rutina shodný: Přepíše soubory autoexec.bat a
config.sys. Poté restartuje počítač. Postiženému uživateli se následně na
obrazovce objeví vzkaz a Cybernet ve stejném okamžiku již usilovně pracuje na
formátování disku.
0 2287 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.