Kalamita jménem ILOVEYOU

Kalendář ukazoval 4. května roku dvoutisícího, hodiny pak něco kolem jedenácté našeho času, když do českých poč


Kalendář ukazoval 4. května roku dvoutisícího, hodiny pak něco kolem jedenácté
našeho času, když do českých počítačů dorazil nový e-mailový červ ILOVEYOU. Na
první pohled by se mohlo zdát, že "něco takového tu už bylo" a že není třeba se
znepokojovat. Bohužel, opak byl pravdou a odborníci zanedlouho začali
prohlašovat, že soustředěný útok Melissy z března loňského roku byl jen slabým
odvarem proti tomu, co se začalo v počítačových sítích dít nyní.
Velice často je v souvislosti s virovým útokem kladena otázka: Kolik počítačů
bylo zasaženo či jaké jsou způsobené škody? Musíme si přiznat, že v případě
červa ILOVEYOU (setkat se lze i s alternativními názvy LOVE LETTER či zkráceně
ILY) toto není snadné odhadnout a že nějaký čas bude trvat, než se dočkáme
"sčítání zajíců po honu". Podle prvotních odhadů světem kolovalo několik
desítek milionů kopií ILOVEYOU, čtyři miliony PC byly přímo napadeny a škody se
pohybují mezi 5 a 10 miliardami dolarů. (Pro srovnání -virus CIH alias Černobyl
v roce 1999 zasáhl 2,5 mil PC, kolem 250 tisíc jich měla na svědomí Melissa a o
sto tisíc méně ZippedFiles.)
Ale zpět k červu ILOVEYOU. Světem se šíří v e-mailové zprávě, která má přílohu:
LOVE-LETTER-FOR-YOU.TXT.vbs.
ILOVEYOU přitom dokázal zmást i mnoho zkušených uživatelů elektronické pošty
tím, že používá dvojici koncovek. "Pravdivá" je samozřejmě ta poslední vbs.
Po spuštění přílohy e-mailové zprávy si ILOVEYOU nejprve vytváří v počítači
několik souborů a vzápětí na ně přidává odkaz do registrů.
Dalším krokem, který vykoná, je, že změní nastavení výchozí stránky prohlížeče
Internet Explorer. Na základě náhodné volby s pravděpodobností jedné čtvrtiny
vybírá mezi čtyřmi startovacími stránkami, přičemž všechny jsou umístěné na
http://www.skyinet.net. Všechny čtyři odkazy přitom směřují na soubor
"win-bugsfix.exe", pokaždé ovšem umístěný jinde. Tento soubor se snaží hledat
hesla a informace týkající se připojení daného počítače k Internetu (přes
dial-up), přičemž se je posléze pokusí odeslat na adresu mailme@ super.net.ph.
Další ošklivou věcí, kterou červ ILOVEYOU dělá, je, že likviduje všechny
soubory s koncovkou vbs a vbe a přepíše je sám sebou. Něco podobného provede i
se soubory s příponami js, jse, css, wsh, sct a hta: Původní maže a na jejich
místa dosazuje svoje kopie s původním jménem, avšak s příponou "vbs".
Dále se zajímá o soubory s příponami jpg, jpeg, mp2 a mp3. Nahrazuje je svou
kopií, přičemž s nimi provádí následující proceduru: Pokud se původní soubor
jmenoval "SvetViru.jpg", pak nový obrázek má název "SvetViru.jpg.vbs". Všechny
nově vzniklé soubory přitom mají jednotnou délku: 10 324 bajtů. Z toho
vyplývají dvě skutečnosti: Jednak si mnoho uživatelů nemusí vůbec všimnout, že
přišlo o svá data, a bezelstně spustí zákeřný kód vbs poté, co z počítače jeho
původce odstranili, a jednak to má za následek opětovné zavirování počítače při
každém spuštění takto změněného souboru. Tímto způsobem přitom "upravuje"
všechny soubory, které nalezne na pevném disku (takže pokud jste měli před
útokem viru na disku 500 obrázků ve formátu jpg, po útoku se s nimi můžete
rozloučit, neb jejich místo zaujalo 500 kopií viru). Zatímco soubory s
koncovkou jpg a jpeg bez milosti maže, mp2 a mp3 v počítači ponechává ovšem
jako skryté soubory.
Další rutinou, kterou je ILOVEYOU vybaven, je rozesílání se na všechny
kontakty, které nalezne ve WAB (Windows Address Book) nebo v adresáři MS
Outlook použije ten, kde jich je víc. Rozesílání se děje při každém zapnutí či
restartu PC, přičemž červ si vede přesnou evidenci adres, na které se už
distribuoval. To ovšem neznamená, že ILOVEYOU se nebude rozesílat z jednoho
počítače na jednu adresu vícekrát, naopak to s velkou oblibou provozuje.
K tomuto největšímu útoku v historii počítačových virů se ještě v seriálu Svět
virů vrátíme. ILOVEYOU totiž ukazuje jednu z cest, kterou se škodlivé kódy
budou v budoucnu ubírat: Útoky proti počítačům budou čím dál agresivnější a
rychlejší, na druhé straně čas potřebný k odpovědi bude minimální.
0 1465 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.