Jedovaté obrázky

V dnešním pokračování seriálu "Svět virů" se trochu podrobněji podíváme na jednoho internetového "červa" (tzv. wo...


V dnešním pokračování seriálu "Svět virů" se trochu podrobněji podíváme na
jednoho internetového "červa" (tzv. worm). "Červi" jsou speciální případy
počítačových virů, které mají tu zvláštnost, že jednak nepotřebují hostitelskou
aplikaci (jsou škodlivým kódem samy o sobě, zpravidla žádné soubory nenapadají)
a jednak jim uživatel většinou musí "pomoci" k životu tím, že je spustí.
Jedním z vánočních "dárků" pro uživatele počítačů na celém světě se závěrem
loňského roku stal i červ MyPics. Internetem se šíří prostřednictvím
elektronické pošty, přičemž využívá aplikaci MS Outlook. Samotný MyPics je
Windows exe aplikace dlouhá 35 kilobajtů, kterou neznámý dobrodinec napsal ve
Visual Basicu. Světem se šíří coby příloha e-mailové zprávy, která má podobu
souboru jménem "Pics4you.exe". Infikované e-maily přitom nemají žádný
"Předmět" (Subject) a obsahují zprávu:
Heres some pictures for you!
MyPics vypadá, že má některé funkce převzaté (spíše by bylo vhodné napsat
"ukradené") z dnes již legendárního viru Melissa. Některé sekvence příkazů
nasvědčují tomu, že autor MyPics z Melissy přinejmenším "opisoval".
Jakmile uživatel obdrží infikovaný e-mail a nenapadne jej nic lepšího, než
spustit připojený exe soubor, červ přebírá kontrolu. Zavádí se do paměti jako
aplikace s názvem Mypics, přičemž je viditelný v seznamu běžících úloh (např.
po stisknutí kláves Ctrl Alt Del). Poté již rozbíhá svou infekční rutinu.
Šíření červa
Červ otevírá databázi kontaktů v Outlooku, získává e-maily z adresáře a všem
rozesílá infikované zprávy. MyPics nikdy neposílá dvakrát infikované zprávy ze
stejného počítače, a aby zabránil duplikaci, vytváří v registru následující
klíč, jehož (ne)přítomnost zkoumá při každém spuštění:
HKEY_CURRENT_USERSoftwareMicrosoftOffice "jpgs2?" = "... by sfkwnty"
MyPics také vytváří svou kopii v rootu disku C:, přičemž soubor má obligátní
název "Pics4You.exe". Následně se registruje do sekce auto-run:
SOFTWAREMicrosoftWindowsCurrentVersionRun "Creative" = "C:Pics4You.exe"
SOFTWAREMicrosoftWindowsNTCurrentVersionWindows Run "Creative" =
"C:Pics4You.exe"
MyPics také mění startovací stránku nastavenou ve webovém prohlížeči na
"www.geocities.com/SiliconValley/Vista/8279/index.html" (v době psaní tohoto
článku byla stránka v "rekonstrukci").
Internetový červ obsahuje destruktivní rutinu: Je-li systémové datum nastaveno
na rok 2000, přepíše soubor C:autoexec.bat souborem se dvěma příkazy. První
formátuje disk C, druhý formátuje disk D. Mimo to vytváří a spouští soubor
c:cbios.com, který narušuje CMOS paměť (maže pole CRC).
Varianty škůdce
V současné době je známo několik variant červa MyPics. Od "mateřské" verze se
liší pouze v několika drobnostech např. v textu, který příjemce infikovaného
e-mailu vidí jako "Předmět zprávy". Zatímco původní varianta žádný "Předmět"
nemá, její mladší mutace ano (uvedena vždy varianta a text Předmětu):
MyPics.a: Heres some pictures for you!
MyPics.b,d: Seasons Greetings
MyPics.c: Heres a digital video for you
Podobné rozdíly panují i v názvu souboru, který jednotlivé verze umístí do
rootu disku C (původně Pics4you.exe):
MyPics.b,d: Icq_Greetings.exe
MyPics.c: Zip01.exe
Rozdíl oproti prvotní verzi je i v registraci do systému a dalších drobnostech.
Uživatele by mohly zajímat nejspíše varianty "b" a "d", které změní v operačním
systému registrovaného uživatele na Mike Carmody a organizaci na "2034 Langley
Ct. Holloman Afb, NM 88330". Obě dvě varianty také mají rozšířenou destrukční
rutinu, neboť sice neformátují obsah disku C, ale to si bohatě vynahradí na
ostatních jednotkách a postupně je formátují v následujícím pořadí: d, e, a, f,
u, b.
"Béčko" a "céčko" navíc sedmnáctého každého měsíce mažou z několika předem
určených adresářů (mj. i z rootu disků "C" a "D") soubory s maskou *.c*.
MyPics.d navíc ještě mění systémové datum na 28. prosince 2041.
To vše jsou ale pouze kosmetické úpravy první varianty červa MyPics. Všechny
totiž obsahují ve svému těle čitelný text MyPics to znamená, že kdosi pouze
pozměnil některé atributy, aby dal vzniknout "novému" škodlivému kódu.
0 0783 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.