Heathen, "kříženec" makroviru a klasického viru

Máme pro vás dvě zprávy dobrou a špatnou. Takto začíná spousta vtipů a bohužel i situací v každodenním životě. ...


Máme pro vás dvě zprávy dobrou a špatnou. Takto začíná spousta vtipů a bohužel
i situací v každodenním životě. Tak kterou chcete slyšet dřív? Většinou tu
špatnou, tak sem s ní. Na světě je o jeden počítačový virus více, označován je
jako W97M. Heathen.12288.A (nebo jen zkráceně Heathen). A teď tu dobrou dáte-li
si jen trochu pozor, nemusíte mít obavu, že by vám způsobil bezesné noci.
Heathen (což by se dalo přeložit do češtiny jako "pohan" nebo "bezvěrec")
napadá počítač po spuštění infikovaného wordového dokumentu (ještě předtím
musíte umožnit funkci Makro a pokud to uděláte, uřízli jste si pod sebou
větev). Až potud se Heathen chová jako správný a spořádaný makrovirus, ale to
je jen zdání, které (zpravidla) klame. Nese v sobě totiž i prvky "klasického"
viru. Mimoto je ale pro uživatele velmi příjemným zjištěním, že se šíří pouze v
prostředí Windows 95; pod jinými systémy (ale také pod Windows 98 či NT) si ani
neškrtne.
Infikované wordové dokumenty obsahují makro, které je automaticky aktivované
při otevření dokumentu. Makro obsahuje virus v podobě prostého ASCII textu.
Virus využívá standardní funkce VBA (Visual Basic for Applications), přičemž
konvertuje blok dat ASCII do klasického pe.exe souboru. Makro počká, až se
dokončí tato instalační rutina, poté opustí paměť a samo se zavře. Mezitím již
vytvořilo soubory heathen.vdo (vlastní virus), heathen.vdl (knihovna Visual
Basic) a heathen.vex, všechny v adresáři Windows. Po restartu systému dojde k
nahrazení souboru explorer.exe souborem heathen.vex při každém spuštění Windows
se tak aktivuje virus.
Makro zároveň samo vypne volbu Virová ochrana (resp. Virová varování) v MS
Wordu. Heathen se pokouší zabránil své vlastní vícenásobné instalaci, což se mu
ovšem nedaří zásluhou chyby ve zdrojovém kódu, takže instalační rutina proběhne
pokaždé v okamžiku, kdykoliv je infikovaný dokument otevřený.
Po svém zavedení do paměti (vždy při restartu infikovaného systému) virus
přebírá kontrolu, když nahrává instrukce ze souboru heathen.vdl a zavádí se do
paměti jako skrytá aplikace Windows. Poté tento nezvaný host skenuje všechny
pevné disky v abecední posloupnosti (hledá od C: do Z: ) a uchovává si jejich
rootová jména (C: , D: , E: atd.). Nakonec si ještě virus pořídí adresářový
strom všech disků. Dalším krokem je napadání souborů *.doc a *.dot. Využívaje
funkce OLE32 kopíruje svůj vlastní makro kód ze souboru heathen.vdo do každého
dokumentu, který najde.
Mimo výše zmíněného infikování souborů *.doc a *.dot Heathen šest měsíců po
napadení počítače vymaže systémové registry: system.dat a user. dat. Neušetří
ani jejich záložní kopie system.da0 a user.da0.
Při prohledávání pevných disků je virus velice inteligentní pokud je v průběhu
své činnosti "vyrušen" (např. restartem Windows), uschová si do souboru
heathen.vdo seznam již prozkoumaných částí systému. Při příštím restartu
systému virus už nezkoumá disky od C:, ale pracuje až od místa, kde byl
"vyrušen".
Pravděpodobně proto, že si autor chtěl před Heathenem chránit svůj vlastní
počítač, má virus nastavené při datu 14. května infikování pouze těch wordových
dokumentů, jejichž název začíná podtržítkem "_". Autor virus pravděpodobně
tento den testoval před vypuštěním do světa.
V samotném "těle" viru je také možné nalézt zašifrovanou "copyrightovou" známku:
WG07 "Heathen" Copyright (C) 1995-1999 by WoodGoblin.
Chránit se před virem Heathen je celkem jednoduché a "staletími" prověřené:
Nespouštěje wordové dokumenty z neověřených zdrojů! A nespouštějte je ani z
ověřených, obsahují-li neznámá makra! A samozřejmě používejte antivirové
programy s patřičnou aktualizací, díky nimž zůstanete následků setkání s virem
Heathen (a nejen s ním) ušetřeni.
9 2262 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.