Haló, volá virus!

Mnozí prorokové (tedy specialisté na antivirovou problematiku) předpovídají, že dříve či později se na světě obje...


Mnozí prorokové (tedy specialisté na antivirovou problematiku) předpovídají, že
dříve či později se na světě objeví "dobrodinci" (tedy autoři virů), kteří
budou schopni napsat programy umožňující napadení mobilních telefonů. Vzhledem
k tomu, že se mobilní komunikace rozvíjejí tempem doslova raketovým, je téměř
jisté, že jednoho dne se virus schopný napadnout mobilní telefony skutečně
objeví.
Nedávno spatřila světlo světa první vlaštovka z této kategorie: Počítačový
virus, který majitele mobilních telefonů alespoň obtěžoval posíláním SMS zpráv.
Dostal jméno Timofonica podle předmětu e-mailové zprávy, kterou se šířil, a
také podle telefonního operátora, jehož služby kritizoval.
Vzhledem k tomu, že šlo o další pokračování veleúspěšným škodlivým kódem
Iloveyou zahájené romance na téma VBS (Visual Basic Script), šíří se e-mailovou
zprávou využívaje bezpečnostních slabin aplikace MS Outlook a naivity
uživatelů. Ke svému "životu" a šíření vyžaduje nainstalovaný Windows Scripting
Host, který se standardně do počítače dostává spolu s Windows 98 a 2000. To
ovšem neznamená, že by uživatelé ostatních verzí tohoto operačního systému
mohli spát klidně: WSH je totiž možné dodatečně doinstalovat.
Škodlivý kód se do počítače dostane zprávou, která má jako předmět uvedeno
jméno operátora Timofonica, přičemž v jejím těle je španělsky psaný text
hodnotící jeho služby a tržní chování a že jej příliš nechválí, jistě netřeba
dvakrát zdůrazňovat. Na konci je připojený soubor TIMOFONICA.TXT.vbs. Záleží
přitom na nastavení každého počítače, zdali je přípona vbs zobrazována:
Uživatelům se pak soubor může jevit jako obyčejný textový soubor txt, neschopný
nést viry, a mohou jej bez jakýchkoliv pochybností spustit.
Poté, co se uživatel pokusí připojený soubor spustit, nastává víceméně klasická
infekční rutina: Timofonica rozesílá své kopie (tedy e-mailové zprávy s výše
uvedenými parametry) na všechny adresy ze seznamu kontaktů MS Outlooku.
Ovšem mimo to umí ještě něco navíc. Za každou odeslanou zprávou s infikovanou
kopií vygeneruje jedno náhodné číslo a odešle zprávu na e-mailovou adresu
(náhodné číslo) @correo.movistar.net. Zpráva má předmět "TIMOFONICA" a text
"informa que: Telefonica te esta engaáando". Adresa correo.movistar.net je
přitom SMS bránou, která distribuuje uživatelům mobilních telefonů e-mailové
zprávy. A tak dochází k tomu, že Timofonica spamuje (tedy obtěžuje nevyžádanou
poštou) uživatele mobilních telefonů.
Přitom na rozdíl od e-mailových virů, které využívají seznamy adres v poštovním
klientovi (ostatně viz výše), může být "zasažen" prakticky kterýkoliv uživatel
mobilního telefonu dané sítě stačí jen, aby měl to "štěstí" a viru se podařilo
vygenerovat jeho účastnické číslo.
Ovšem toto není zdaleka úplný výčet toho, co Timofonica umí. Do infikovaného
počítače totiž ještě vypouští trojského koně. A to tak, že vytváří soubor
cmos.com v systémovém adresáři Windows a zapíše do něj část kódu, kterou si s
sebou "nese". Následuje zápis do registrů s odkazem právě na tento soubor:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunCmos = Cmos.com
Výsledkem je, že při příštím spuštění Windows soubor cmos.com přebírá kontrolu,
přepisuje obsah paměti CMOS a poškozuje informace na lokálních discích.
Dalším efektem, jímž se Timofonica v napadeném počítači projevuje, je vytvoření
souboru C:TIMOFONICA.TXT. Jedná se o pamflet kritizující operátora Timofonica
a jeho chování. Dochází též k modifikování systémových registrů tak, aby byl
tento dokument otevřen v Notepadu (Poznámkovém bloku) vždy, když se uživatel či
operační systém pokusí spustit jakýkoliv vbs soubor. K obnovení normální
funkčnosti asociace se soubory vbs stačí v příkazovém řádku Windows spustit
příkaz: WSCRIPT //H:WSCRIPT.
0 1741 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.