Další zlé makro

Dalším přírůstkem na "vlně VBS" (Visual Basic Script), která se spustila letos v květnu příchodem viru Iloveyou, je ...


Dalším přírůstkem na "vlně VBS" (Visual Basic Script), která se spustila letos
v květnu příchodem viru Iloveyou, je e-mailový červ Stages (někdy též
označovaný jako LifeStages, Scrap, ScrapWorm apod.). Vzhledem k tomu, že tento
škodlivý kód "zavítal" též do končin českých, nebude jistě od věci se s ním
poněkud blíže seznámit.
Světem se šíří zhruba od poloviny června letošního roku. Jeho základní
filozofie je podobná jako u ostatních škodlivých kódů stejné kategorie:
Přesvědčit uživatele, aby spustil infikovaný soubor. Jakmile tak učiní
(nejčastěji dvojitým poklepáním myší), Stages rozesílá na všechny strany jako
zběsilý své kopie, navíc se instaluje do počítače. Mimo to se ovšem dokáže
nakopírovat na síťové disky a je schopen se šířit i přes mIRC.
Jak již bylo uvedeno výše, Stages je napsaný ve VBS. Z toho vyplývá, že pro
svou korektní činnost potřebuje nainstalovaný Windows Scripting Host. V
operačních systémech Windows 98 a Windows 2000 je nainstalovaný defaultně,
jinak je ovšem možné jej individuálně doinstalovat. Další důležitou podmínkou,
jejíž splnění potřebuje k "životu", je Outlook verze 98 nebo 2000.
V programovém kódu Stages je možné nalézt následující "copyrightové" označení:
MIRC/NETWORK/OUTLOOK/PIRCH.ShellScrapWorm by SimpleSimon / Zulu
Šíření viru
Samotný škodlivý kód se šíří souborem life_stages.txt.shs. Záleží na nastavení
počítače, zdali je přípona shs zobrazována, či nikoliv, ale většinou tomu tak
není. Uživatel pak může nabýt dojem, že u e-mailové zprávy je připojený soubor
ve formátu txt, který nemůže být nositelem virové nákazy. K jeho spuštění je
pak už jen krůček.
E-mail s infikovanou přílohou poněkud mění svou podobu. Předmět zprávy je
nahodile vytvořen ze tří různých skupinek textů. V první je "Fw:" a mezera.
Druhou skupinku tvoří texty "Life stages", "Funny" a "Jokes". Ve třetí pak je
"text" a opět mezera. Výsledkem jsou názvy jako např. Fw: Joke, Life stages,
Funny text. Tělo zprávy pak může být prázdné či nese jednu ze dvou
následujících větiček:
> The male and female stages of life.
> The male and female stages of life. Bye. Aby co nejlépe zamaskoval svou
nežádoucí činnost, vytvoří v adresáři s dočasnými soubory textový dokument a
samočinně jej otevře za pomoci textového editoru. V dokumentu je několik
vtipných textíků, například i tato charakteristika vývoje fantazií žen a dívek
v závislosti na věku:
Age. Favourite fantasy.
17 Tall, dark and hansome.
25 Tall, dark and hansome with money.
35 Tall, dark and hansome with money and a brain.
48 A man with hair.
66 A man.
Po otevření souboru pokračuje Stages ve své činnosti. Otevírá si MS Outlook, v
němž získává přístup k Address Booku a posílá na všechny zde nalezené kontakty
svou kopii.
Po tomto zamaskování a rozšíření se Stages zabydluje v systému. V adresáři
Windows vytvoří svou kopii life_stages.txt.shs. Dále do systémového adresáře
Windows umístí soubor msinfo16.tlb a msrcycld.dat do složky Recycle Bin
(Odpadkový koš). V dalším kole umisťuje své kopie do rootových adresářů všech
lokálních pevných disků a také do složek "Programs" a "My Documents". Pokud
jsou infikovanému počítači přístupné síťové disky, Stages se pokouší
nakopírovat i na ně. Někdy sice může mít potíže s českými verzemi operačního
systému, ale to mu v šíření nikterak nebrání jednak i v našich končinách je
poměrně značné množství počítačů s anglickými Windows a jednak jsme již uvedli,
že Stages byl zaznamenaný také v České republice.
Výše uvedený výčet ovšem není úplný. Do Windows je umístěn soubor scanreg.vbs,
který se registruje v sekci autorun, takže je vykonán při každém spuštění
Windows. V Odpadkovém koši je pak vytvořena jeho kopie (rcycldbn.dat). Další
nově vytvořený soubor (dbindex.vbs) ve Windows je spuštěn při každém zapnutí
ICQ.
Výsledkem všech těchto akcí je, že Stages je aktivován při každém bootování
Windows nebo kdykoliv uživatel startuje ICQ.
Mimo tohoto vytváření souborů ovšem Stages také maže. Konkrétně se jedná o
soubor regedit.exe, který končí v Odpadkovém koši pod názvem Recycled.vxd.
Stages se umí také šířit přes IRC kanály: Skenuje lokální disky a vyhledává na
nich soubor mirc.ini. Pokud je hledání úspěšné, vytvoří ve stejném adresáři
soubor sound32b.dll. Ten obsahuje příkazy, které zajišťují odeslání
infikovaného souboru (life_stages.txt.shs) ke všem na IRC kanále, na nějž se
uživatel infikovaného počítače přihlásí.
0 2085 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.