Davinia, virus se zbrusu novým nápadem

V polovině ledna letošního roku se objevila zpráva o dalším škodlivém počítačovém kódu, který pro svou činnost ...


V polovině ledna letošního roku se objevila zpráva o dalším škodlivém
počítačovém kódu, který pro svou činnost využívá Internet. A to jednak pro své
šíření a jednak trochu neobvyklým způsobem také pro svou instalaci do počítače.
Davinia je e-mailovým červem, který pro svou činnost využívá MS Outlook a také
MS Word 2000. Do počítače se dostává v podobě elektronické pošty, která má HTML
formát. Předmět i tělo je prázdné, ovšem Davinia si s sebou nese skript, který
je automaticky vykonán, kdykoliv je zpráva zobrazena ať již nic netušícím
uživatelem či automaticky při použití funkce Preview (Náhled).
Tento skript při svém vykonání nejprve otevírá okno internetového prohlížeče
instalovaného v počítači, poté se pokouší kontaktovat předem stanovenou webovou
stránku. Tato stránka obsahuje další skript, který v infikovaném počítači
otevírá dokument MS Word obsahující makrovirus. Také ten je stažen z
kontaktované stránky. Jinými slovy, Davinia si s sebou vlastní šířící rutinu
"nevozí", obsahuje pouze instrukce vedoucí k jejímu získání. Skript vykoná
ještě jednu funkci, než definitivně předá kontrolu makroviru: Znemožní
makrovirovou ochranu tak, že soubor obsahující makra je automaticky vykonán,
aniž by byl uživatel žádán o autorizaci.
Červ využívá známý bezpečnostní problém "Office 2000 UA Control" (bližší popis
http://www.microsoft. com/technet/security/bulletin/ms00-034.asp), který
umožňuje za určitých okolností vykonat škodlivému kódu umístěnému na webové
stránce nežádoucí činnost v počítači, který ji navštívil. Automatické vykonání
Makro umístěné v dokumentu MS Word je automaticky vykonáno při jeho otevírání
tedy po stažení z příslušné webové stránky, která je spuštěna skriptem v
e-mailové zprávě. A skript se automaticky aktivuje po otevření zprávy všechno
je tedy plně automatizované, probíhá prakticky bez zásahu lidské ruky!
Makro v dokumentu získává přístup k MS Outlooku, z jeho adresáře vybírá adresy
a na ně posílá e-mailové zprávy. Ty mají úplně stejnou podobu jako zprávy, v
nichž škodlivý kód přišel do počítače.
Davinia obsahuje nebezpečnou rutinu, která je vykonána po odeslání zpráv. V
systémovém adresáři Windows vytvoří soubor "littledavinia.vbs" a modifikuje
registry, což vede ke spuštění tohoto souboru při každém novém zavedení
systému. Skript v tomto souboru obsažený bez milosti přepisuje všechna data na
dostupných discích. Tím vlastně způsobí, že data není možné obnovit jako při
běžném mazání. Přepsáním získají soubory HTML obsah a při jejich aktivaci se
stránka zobrazuje jako následující vzkaz:
VBScript: Onel2 Melilla
Hola, tu nombre es Tu email es Yo soy Onel2, y vivo en Melilla
una ciudad del norte de Africa.
Estoy enamorado de una chica llamada Davinia.
Ella es la mas guapa del mundo.
Es como una diosa.
Igual que yo me contagie de amor de Davinia, tus archivos se van a contagiar de
amor de esta pagina
Davinia(chica) y Davinia(virus) rompen corazones y archivos.
littledavinia version 1.1 esta en camino...

Překlad: (Ahoj, tvé jméno je tvůj email, já jsme One12 a žiji v Melie, je to
město na severu Afriky. Jsem zamilovaný do jedné dívky jménem Davinia. Je to
nejkrásnější žena na světě. Vypadá jako bohyně. Tak jako mě nakazila láska k
Davinii, tvé soubory se nakazí láskou z této stránky. Davinia (dívka) a Davinia
(virus) rozbíjejí srdce a soubory. littledavinia version 1.1 už přichází...)

[Abort] [Retry] [Ignore]
Zprávy z počítače odeslané přitom mají stejnou podobu jako přijaté; jedná se
pouze o HTML formát s makrovirem umístěným na shodném místě jako v předchozím
případě červ a jeho funkčnost (resp. nefunkčnost) je tak vázána jen na jedno
jediné místo na Internetu. V případě, že není dostupné (počítač je off-line
nebo hostitelská stránka byla uzavřena), škodlivý kód se přestává šířit.
S kódem Davinia je to tedy jako s chytrou horákyní (přijela-nepřijela, oblečená-
neoblečené, dala dar/nedar apod.), takže škodí/neškodí. Má sice zajímavý a
poměrně nebezpečný nápad spojený se zákeřnou rutinou, ale v současné době se
nešíří v reálném světě. Jednak byl server s hackerskou stránkou vzápětí po
oznámení o nalezení Davinie odstaven a jednak se mezi uživateli nevyskytuje.
Ukazuje však jednu z dalších možných cest vývoje škodlivých kódů.
1 0140 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.