Další "odpovídací" virus

Bezesporu nejpopulárnější (alespoň mezi autory virů) jsou v poslední době tzv. internetoví červi. Jedná se o kusy z...


Bezesporu nejpopulárnější (alespoň mezi autory virů) jsou v poslední době tzv.
internetoví červi. Jedná se o kusy zákeřného kódu, který se na první pohled
tváří jako běžná příloha e-mailové zprávy, ovšem ve skutečnosti po svém
spuštění způsobí v uživatelově PC celkem solidní paseku.
Do kategorie e-mailových virů patří i W32.Plage, který se objevil v polovině
ledna 2000. Šíří se pomocí Internetu, přesněji pomocí e-mailu. Virus má
velikost zhruba 100 kilobajtů, přičemž je ve tvaru "exe" souboru pro Windows.
Jeho jméno je přitom náhodně generováno z databáze, kterou si virus "nosí" s
sebou: pics, setup, images, card, joke, billgt, PsPGame, midsong, news_doc,
s3msong, hamster, docs, tamagotxi, humor, searchURL a fun. Samozřejmě, že
soubor je vždy s nezbytnou příponou exe.
Plage monitoruje příchozí elektronickou poštu, přičemž na každou doručenou
zprávu poctivě odpovídá (kéž by se takto chovali i všichni uživatelé z masa a
kostí!). Vzhledem k tomu, že se jedná o funkci "Re" (Reply), má e-mail pokaždé
jiné atributy. Zpráva však vypadá takto:
P2000 Mail auto-reply: Ill try to reply as soon as possible. Take a look to
the attachment and send me your opinion!
Virus se tak snaží tvářit jako automatická odpovídací funkce s tím, že uživatel
je momentálně zaneprázdněn. Přitom vyzývá příjemce k otevření přiloženého
dokumentu. Pokud ten je tak naivní a soubor skutečně otevře, bude později
nemile překvapen zavirovaným počítačem.
Instalace viru
Po spuštění souboru přebírá virus kontrolu přitom se ale tváří, že dekomprimuje
soubor a pak ohlásí chybu. Ve skutečnosti se nakopíruje do adresáře Windows pod
jménem inetd.exe a registruje se jako auto-run (samospustitelná) aplikace. Pod
Windows 95/98 vytváří novou instrukci "run=WinDirINETD.EXE" ve windowsovské
sekci souboru win.ini. (Kde "WinDir" je jméno adresáře s operačním systémem
Windows: Win95, Win98, Win, Windows apod.) Pod operačním systémem Windows NT
vytváří novou instrukci "Run=" v systémovém registru.
Virus poté zůstává v systémové paměti jako servisní proces (není viditelný v
seznamu běžících aplikací např. po stisknutí Ctrl Alt Del), přičemž má
neobyčejnou trpělivost, neboť poté počká 5 minut a až následně provede svou
infekční rutinu. Ta spočívá v tom, že virus nahlédne do poštovního klienta a na
všechny nepřečtené dopisy "odpoví" viz výše.
Po "zodpovězení" všech nepřečtených e-mailů se Plage vrátí k prvnímu z nich a
celý postup opakuje v nekonečné smyčce. Tato skutečnost ovšem neznamená, že
virus na dopisy odpovídá do skonání světa. Aby zabránil několikanásobnému
odpovídání na jednu adresu, "označí" si každou již odeslanou zprávu na konci
"Předmětu" mezerou tedy znakem uživateli nepozorovatelným. Úplně stejným
způsobem zabraňuje tomu, aby odpovídal na své vlastní infikované e-maily.
K získání přístupu k e-mailu virus využívá funkce MAPI, takže není limitován
žádným typem instalovaného softwaru. Plage má přitom chybu právě v této části
kódu, takže někdy zkolabuje a "strhne" s sebou i operační systém.
Pokud je virus aktivován v okamžiku, kdy jsou systémové hodiny nastaveny na
středu 2:00 hod. a v počítači je nainstalována BPL (Borland Package Library),
zobrazí ještě jedno dialogové okno. V něm je kresba zobrazující Adolfa Hitlera
vystřelujícího si pistolí mozek z lebky.
0 0339 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.