Jen pro tvé oči...

... stojí psáno v "Předmětu" e-mailové zprávy, která začala kolovat světem v prosinci loňského roku. Pokud už popo...


... stojí psáno v "Předmětu" e-mailové zprávy, která začala kolovat světem v
prosinci loňského roku. Pokud už popouštíte uzdu své bujné fantazii, musíme vás
trochu krotit. Nejedná se o nic více a o nic méně než o další z řady
počítačových virů, které se šíří prostřednictvím e-mailové zprávy.
Tento počítačový virus má podobu Windows EXE souboru dlouhého 69 632 bajtů.
Světem putuje po Internetu coby příloha e-mailových zpráv. Jméno přílohy je
přitom pomocí náhodného generátoru vybíráno z následujícího seznamu 26 variant:
panther, farter, gadget, boss, irngiant, monica, casper, saddam, fborfw, party,
cupid2, hog, party, goal1, bboy, pirate, baby, video, goal, copier, theobbq,
cooler1, panthr, cooler3, chestburst a g-zilla. Samozřejmě, že soubor má vždy
spustitelnou příponu EXE.
Nejčastěji má virus pojmenovaný NewApt (někdy se lze setkat i s označením
I-Worm.NewApt, W32.NewApt.Worm či Worm.NewApt, ale jedná se vždy o jeden a
tentýž produkt) podobu e-mailové zprávy s Předmětem: Just for your eyes (Jen
pro tvé oči). Ovšem není to stoprocentním pravidlem, někdy NewApt využívá
odpovídací funkci "Re" v poštovním klientovi.
V těle zprávy přitom lze nalézt text:
he, your lame client cant read HTML, haha.
click attachment to see some stunningly HOT stuff
Mimoto je zde možné nalézt text v HTML formátu: Hypercool Happy New Year 2000
funny programs and animations... We attached our recent animation from this
site in our mail! Check it out!
Šíření viru
K šíření se prostřednictvím e-mailů virus využívá SMTP spojení, což znamená, že
jeho pole působnosti není omezeno na nějaké konkrétní typy poštovních klientů,
ale pracuje zcela nezávisle na nich.
Jakmile příjemce obdrží infikovaný e-mail a nenapadne jej nic lepšího, než
otevřít přiložený exe soubor, přebírá virus kontrolu a instaluje se do
počítače. Nakopíruje se se svým současným jménem (viz náhodný generátor zmíněný
v úvodu tohoto materiálu) do adresáře Windows a registruje tuto kopii do
registru v sekci "Run=".
Aby zakryl svou přítomnost v systému, není NewApt nijak originální a stejně
jako drtivá většina podobných virů zobrazí falešné hlášení v uživateli tak má
být navozen dojem, že vše je v pořádku a že došlo pouze k softwarové chybě.
Opak je ale pravdou, v tomto okamžiku se již virus zabydluje v systému a pouze
potvrzuje svou přítomnost následující hláškou (to ovšem většinou uživatel vůbec
netuší):
The dinamic link library giface.dll could not be found in specified path:
C:WINDOWSSYSTEM;C:WINDOWS;C:WINDOWS COMMAND
Přitom cesta není konstantní, ale je v ní uveden systémový adresář příslušného
počítače.
NewApt poté vytvoří a inicializuje pro své použití systémové klíče:
HKEY_CURRENT_USERSoftwareMicrosoftWindows
itn =, cat =, cd =, lk =, lms =, mda =,mde =
Virus se dále zaregistruje jako servisní procedura (čili není viditelný mezi
běžícími úkoly, takže znesnadňuje své odhalení a zneškodnění). V pravidelných
intervalech přitom skenuje pevné disky a zkouší na nich nalézt soubory s
e-mailovými adresami. Pokud uspěje, ihned se na ně automaticky rozesílá.
Počínaje 12. červnem 2000 virus odstraní na infikovaném počítači sekci "Run="
ze systému. Jinými slovy po tomto datu virus sám (a dobrovolně) odstraní svou
spouštěcí rutinu z počítače. Nepracuje, nicméně v počítači zůstává to pro
případ, že by se nějakým způsobem podařilo nastavit systémové datum před 12.
červen 2000 a virus by se opět mohl aktivovat.
Počínaje 26. prosincem 1999 se virus NewApt v infikovaném počítač pokouší
připojit k jednomu z počítačů v Microsoftu to je víceméně standardní útok
pokusem "shodit" počítač velkým množstvím odmítnutých přístupů.
V současné době známe ještě jednu verzi viru NewApt. Ta se od své "mateřské"
varianty liší pouze tím, že sekci "Run=" odstraní ze systému o měsíc později
(12. července) a k počítači Microsoftu se pokouší připojit až počínaje 2.
únorem 2000.
0 0075 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.