Lee: Povedená rodinka

Pravděpodobně jako příliš malé přišlo neznámému dobrodinci (či dobrodincům) množství počítačových virů vyu


Pravděpodobně jako příliš malé přišlo neznámému dobrodinci (či dobrodincům)
množství počítačových virů využívajících ke svému "životu" elektronickou poštu
(jedná se o tzv. worms červy). A tak se rozhodl obšťastnit svět hned celou
rodinkou těchto škodlivých kódů, které dostaly označení Lee.A až F.
Tyto škodlivé kódy přitom používají dvou různých infekčních technologií v
závislosti na verzích. Všeobecně se dá říci, že existují dvě hlavní varianty (A
a B), ostatní jsou jejich více či méně upravené klony. Lee.A se světem šíří
pomocí IRC kanálů, zatímco Lee.B využívá aplikaci MS Outlook a rozesílání zpráv
elektronické pošty s infikovanou přílohou. Všechny varianty jsou napsané v
jazyce Visual Basic Script (VBS).
Lee.A je poměrně jednoduchý programový kód, který se šíří do počítačů
připojených ke stejným IRC kanálům, k nimž je připojena infikovaná stanice.
Jakmile je virus aktivován, nakopíruje se v aktuálním počítači do adresáře
Windows pod jménem McAffe.vbs. Poté identifikuje složku, kde je instalován mIRC
klient, a v ní vytváří soubor script.ini, který obsahuje příkazy právě pro mIRC
klienta. Po vytvoření script.ini vytváří Lee.A záznam v systémovém registru tím
brání dvou či vícenásobnému napadení jednoho počítače. Virus neobsahuje žádnou
destruktivní rutinu, jeho jediným úkolem je pouze se šířit.
Jak již bylo uvedeno výše, Lee.B se šíří pomocí elektronické pošty. Funguje
ovšem pouze v počítačích, na nichž je nainstalován WSH (Windows Scripting
Host). Ve Windows 98/2000 je instalován defaultně, jinak si jej ovšem uživatel
může do operačního systému přidat. Také využívá některých speciálních funkcí MS
Outlooku 98/2000, takže je schopen šířit se pouze v případě, že je instalována
některá z těchto verzí. Při šíření je Lee.B rozesílán na všechny adresy
obsažené v MS Outlook Address Book. Červ přichází do počítače jako e-mailová
zpráva s připojeným VBS souborem:
Předmět: Mail from: Lee@Buxtehude.de
Příloha: Independance Day.vbs
Po aktivování uživatelem (dvojitý klik na připojený soubor) červ otevírá MS
Outlook, získává přístup k Address Booku a na všechny kontakty pošle vzkaz se
svou připojenou kopií. Stejně jako varianta "A" brání vícenásobnému napadení
jednoho počítače vytvořením záznamu v systémovém registru. Pokud je záznam
přítomen, červ neposílá infikované zprávy jednak tak chrání počítač před druhým
napadením a jednak tímto krokem vykonává infekční rutinu pouze jednou.
Další sourozenci
Varianta Lee.C je velmi blízká "béčku", ovšem má několik změn. Infikovaná
e-mailová zpráva má následující podobu:
Předmět: Ncc1701e
Zpráva: Hi, this is Ncc1701e speaking to all Borgs in the Galaxy...! You must
die... Assimilation to all Terranien Guys...
Příloha: Picard.vbs
Po aktivaci se nakopíruje do složky Windows pod jménem picard.vbs a zapíše se
do systémového registru do sekce autostart:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunStartTrek = "wscript.exe
Picard.vbs"
Výsledkem tohoto úkonu je, že se aktivuje při každém startu operačního systému
Windows. Lee.C navíc obsahuje v programovém kódu podpis jeho autora či
"modifikátora": "Worm Created by Lee from Germany".
Lee.D je jakýsi hybrid vzniklý kombinací variant A a B. Jedinou důležitější
informací je (mimo nepodstatné úpravy v předmětu, zprávě a příloze infikovaného
e-mailu) fakt, že v programovém kódu je e-mailová adresa Osterhase@Ostern.de
from Lee.
Varianta E je shodná s touto verzí a navíc vytváří záznam do systémového
registru:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunLee = "wscript.exe Ds9.vbs"
Lee.F je lehce polymorfní varianta verze "C". Obsahuje rutinu, která náhodně
mění některá jména a přidává znaky do programového kódu červa, takže tento na
první pohled mění svou podobu. Jedná se ovšem o nesmírně primitivní trik, takže
s ním antivirové programy nemají nejmenší potíže. Nebezpečí Lee.F spočívá
především v psychologickém působení, neboť se vydává za nový bezpečnostní
nástroj pro Outlook (New Outlook Security Tool) a tváří se, jako by byl
odeslaný z adresy Lee@Microsoft. com. Připojený soubor má přitom jméno
update.vbs.
0 2834 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.