Láska z e-mailu za miliardu dolarů

Internetem se na konci minulého týdne přehnal další virus šířící se elektronickou poštou. Dopis s textem "I love yo...


Internetem se na konci minulého týdne přehnal další virus šířící se
elektronickou poštou. Dopis s textem "I love you" nebo "love letter" napadl
počítačové sítě po celém světě a měl podle pátečních odhadů jen během prvních 3
dní způsobit škodu vysoce přesahující 1 miliardu dolarů.
Neodbytně se vnucuje lehce cynická poznámka ve smyslu "Co také čekat od e-mailu
s názvem I Love you" :-).
Virus byl poprvé zaregistrován ve čtvrtek ráno v Hongkongu a s postupujícím
dnem pak napadal počítače v dalších zemích. Základní princip jeho šíření a
působení je přitom velmi jednoduchý: uživatelům počítačů při-chází e-mail,
který v sobě obsahuje přiložený soubor LOVE-LETTER-FOR-YOU.TXT. vbs. Řada
uživatelů zřejmě přehlédne koncovku vbs (a nebo poklepe na vše, co jim přijde)
a soubor spustí.
Co virus dělá
Virus se po spuštění nakopíruje do adresáře s operačním systémem Windows jako
soubor Win32dll.vbs, pod dalšími 2 jmény pak do podadresáře System. K jeho
dalším projevům patří především rozeslání sebe sama všem, kdo mají to štěstí,
že se nacházejí v seznamu adres postiženého (vázáno na Microsoft Outlook v roli
poštovního klienta) a dále nastavení startovní stránky Internet Exploreru na
webové stránky http://www.skyinet.net, odkud se snaží stáhnout a spustit soubor
WIN-BUGSFIX.exe. Uvedený Web je však v době psaní tohoto textu nedostupný,
takže lze jen odhadovat, co by měl cílový soubor provést.
Adresa http://www.skyinet.net však podle dostupných informací patří jednomu z
největších internetových providerů na Filipínách a protože nelze očekávat, že
by na sebe nějaká firma takto chtěla sama upozornit, lze odhadnout, že jí virus
má způsobit nepříjemnosti a to se (vzhledem k její nedostupnosti) zřejmě
podařilo. Soubor WIN-BUGSFIX.exe tedy možná nikdy na zmíněném Webu ve
skutečnosti neexistoval.
Kromě již výše uvedených projevů virus také napadá soubory s koncovkami vbs,
vbe, js, jse, css, vsh, sct, hta, jpg, jpeg, mp3 a mp2. Obsah těchto souborů
přitom smaže a nahradí ho sám sebou a přitom jim ještě přidá koncovku vbs.
Pokud tedy uživatel tyto soubory posléze spustí, dojde k nové infekci.
Nebezpečí ještě zvyšuje fakt, že v Průzkumníku Windows lze zrušit zobrazení
přípon a soubory se tak (kromě snadno přehlédnutelné ikony) mohou tvářit jako
nenapadené. Druhým rizikem je pak další šíření takto napadených souborů mezi
uživateli PC.
Možnosti infekce
Červ se šíří nejen prostřednictvím elektronické pošty, ale má být údajně
schopen využít i IRC. A protože infikuje i MP3 soubory, může dojít k další
nákaze i pomocí sítí na výměnu souborů digitální hudby.
Rychlost šíření nového viru je údajně až desetkrát větší než v případě Melissy.
Hned tři světové servery, které přednostně sledujeme (http://www.idg.net,
http://www.news.com a http://www.internetnews.com), zařadily tuto zprávu jako
svoji top story. To je velmi ojedinělá shoda, svědčící o tom, že panika
vyvolaná virem byla opravdu značná. Jenom v jediném dni zřejmě každý z nás
obdržel tuto zprávu hned z několika zdrojů. Navíc se brzy objevily i mutace
viru s textem v litevštině, eventuálně e-mail se subjectem fwd: Joke a
připojeným souborem Very Funny.vbs. Vrcholem je soubor popisovaný v textu
e-mailu jako vyúčtování vaší bankovní transakce.
Oběti
Co se týče způsobených škod, paralyzována byla řada firem i celých sítí. To
jsou ovšem vesměs škody odstranitelné. Protože však virus likvidoval mj.
soubory ve formátech MP3 a JPG, stal se podle všeho skutečnou katastrofou pro
řadu firem podnikajících např. v oblasti digitální hudby, pro grafická studia,
média i vývojářské firmy.
Zaostřeno na skripty
Virus je nebezpečný především uživatelům Windows 98 (někdy) a Windows 2000
(vždy), v prostředí Windows 95 je schopen škodit pouze v případě, že je v nich
doinstalováno WSH. Technologie Windows Scripting Host, jakýsi nástupce
dávkových souborů z doby DOSu, ovšem může být doinstalována i víceméně bez
uživatelova vědomí spolu s jiným softwarem.
Co se týče nitra viru, jak už vyplývá z přípony souboru, jde o program ve
VBScriptu a právě technologie WSH umožňuje spouštět soubory tohoto typu přímo
na úrovni operačního systému (a ne s bezpečnostními omezeními, jako když
VBScript běží v rámci webového prohlížeče).
Protože otázka, zda virus mohl ohrozit i váš systém, je lehce nejasná,
připravili jsme pro vás z naší stránky http://www.cw.cz odkaz na stažení
souboru hello.js (pro podezřívavé to není ten virus :-)). Pokud se vám po
stažení souboru podaří jej dvojklikem spustit, mohli jste se stát obětí viru i
vy.
Výrobci antivirů obstáli
Výrobci antivirů (včetně těch tuzemských) zareagovali většinou ještě první den
šíření epidemie a nabídli svým zákazníkům aktualizace softwaru, které učiní
řádění viru přítrž. S prohlášeními o ochraně uživatelů si pospíšily dokonce i
některé webové freemaily. Lze tedy říci, že firmy podnikající v oboru projevily
vesměs schopnost reagovat na vzniklé sitace adekvátním způsobem tedy především
dostatečně rychle.
0 1289 / pahn









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.