Erotické e-maily

Počátkem května letošního roku se ve světě objevil e-mailový červ Iloveyou. Odborníci na virovou a antivirovou probl...


Počátkem května letošního roku se ve světě objevil e-mailový červ Iloveyou.
Odborníci na virovou a antivirovou problematiku tehdy předpovídali, že se tento
nápad s použitím nesmírně silného jazyka VBS (Visual Basic Script) ujme a že se
můžeme těšit na další dávku podobných škodlivých kódů. Jedním z nich je i
"erotický" Fireburn.
Iloveyou sice nebyl prvním škodlivým kódem, který využíval VBS, ale stal se
beznadějně nejúspěšnějším v historii informačních technologií. Byl jednoduchý,
rychlý a neměl problémy s lokalizovanými verzemi operačních systémů či aplikací.
Další poměrně úspěšnou a poměrně zajímavou variací na téma VBS je e-mailový
červ FireBurn, který jednak využívá MS Outlook a jednak se šíří přes IRC pomocí
mIRC klienta. Jakmile je FireBurn aktivovaný (dvojitým kliknutím na přílohu u
infikovaného e-mailu nebo akceptováním downloadu přes IRC), instaluje se do
systému do adresáře Windows jednak do souboru rundll32.vbs a jednak pod stejným
jménem, pod jakým přišel v e-mailu.
Jméno připojeného souboru je náhodně vybíráno z osmi variant, přičemž u všech
názvů se autor spoléhá na jejich erotický nádech, kterým se snaží oslabit
pozornost uživatele a přimět jej ke spuštění přílohy:
Ultra-Hardcore-Bondage.JPG.vbs
Christina__NUDE!!!.JPG.vbs
CuteJany__BigTits!.GIF.vbs
MyGirlfriend__NUDE!.JPG.vbs
Aguiliera__NUDE!!.JPG.vbs
!Jany__Gets-fucked!.GIF.vbs
cute__EmmaPeel!!!.JPG.vbs
Julie17__xxx.GIF.vbs
Další ošklivostí, kterou FireBurn provede, je zapsání se do registru klíčů jako
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun MSrundll32 =
rundll32.vbs
Výsledkem této rutiny je, že se škodlivý kód aktivuje při každém startu
Windows. Následuje rozesílání kopie přes MS Outlook na všechny adresy, které má
nešťastný uživatel v adresáři. Rozesílá se ve dvou podobných zprávách, pod
německou verzí Windows se šíří jako e-mail s následujícími atributy:
Předmět: Moin, alles klar?
Text: Hi, wie gehts dir? Guck dir mal das Photo im Anhang an, ist echt geil ;)
bye, bis dann...
A pod neněmeckými (tedy i českými) Windows:
Předmět: Hi, how are you?
Text: Hi, look at that nice Pic attached! Watching it is a must ;) cu later...
Jak již bylo výše uvedeno, infekční rutina FireBurnu si dokáže poradit také s
IRC. K šíření přes IRC červ vytváří soubor script.ini v adresáři MIRC
(samozřejmě, pokud je instalován). FireBurn vyhledává adresář MIRC ve složce
"Program Files". Tento soubor obsahuje sadu instrukcí, které zařídí rozeslání
červa každému na infikovaném kanále. Tento skript také umí několik dalších
činností, například skrývá všechny vzkazy příchozí přes IRC, které obsahují
některé z těchto slovíček: "script", "virus" či "worm". FireBurn se tak snaží
ostatním uživatelům bránit před varováním majitele infikovaného počítače.
Jakmile ve zprávě přes IRC přijde text "die lamer", červ zařídí opuštění tohoto
kanálu se vzkazem "Ill commit suicide! R.I.P" A na text "fire" zobrazuje vzkaz
"Burn Burn Burn :)"
Dvacátého června se FireBurn v infikovaném počítači aktivuje. Poté zobrazuje
následující dialogové okno:
FireburN
Im proud to say that you are infected by FireburN !
Poté změní tyto 2 systémové klíče:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Shut_Up =
"rundll32 mouse,disable"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Shut_Up2 =
"rundll32 keyboard,disable"
Tím při příštím restartu dojde k softwarovému odpojení myši a klávesnice.
0 1686 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.