Magistr: Velmi nebezpečný červ

Tomáš Přibyl Magistr nese nebezpečnou rutinu a v závislosti na několika podmínkách může poškodit data na pevném d...


Tomáš Přibyl
Magistr nese nebezpečnou rutinu a v závislosti na několika podmínkách může
poškodit data na pevném disku, smazat paměť CMOS i flash a to podobným
způsobem, jako to dělá virus CIH (alias Černobyl). Nápadná podobnost této akce
u obou škodlivých kódů vypovídá o jednom: autor Magistra "opisoval" v dílně
CIHu.
V těle Magistra lze nalézt copyrightový text:
ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by: The Judges Disemboweler.
written in Malmo (Sweden)
Samotný červ je programem napsaným v Assembleru a má délku 30 KB (což je na
Assembler poměrně dost). Tato velikost je zapříčiněna přítomností velkého
množství různých rutin: infikačního algoritmu, e-mailových a síťových šířících
rutin, polymorfních enginů (jsou zde hned dva), doprovodných rutin a několika
dalších procesů, které mají za cíl znesnadnit detekci a dezinfekci kódu.
Podtrženo, sečteno jedná se o jeden z nejkomplexnějších dosud známých virů.

Červí akce
Po spuštění (např. z infikované e-mailové zprávy, ale stejně tak dobře jej lze
získat i jiným způsobem) se Magistr instaluje jako rezident do paměti, kde
několik minut spí a až následně vykoná svou práci (napadení Win 32 exe souborů
na lokální i síťových stanicích, šíření pomocí e-mailů apod.). V paměti se
Magistr "zabydluje" jako součást aplikace explorer.exe, kterou modifikuje
přidáním krátké zaváděcí rutiny (délka 110 bajtů). Tato rutina je schopna
zavést virus do paměti.
Po uplynutí "vyčkávací" doby se Magistr probouzí k životu. Nejprve infikuje
jeden exe soubor (zpravidla první soubor v adresáři Windows). Ten (stejně jako
všechny další napadené soubory) je přitom virem upraven tak, že vykoná pouze
nepřátelský kód, ale nikoliv vlastní program. Dalším krokem při zabydlování se
v počítači je zápis do win.ini v sekci [windows] a také do registrů autorun
(takže kód je aktivován při každém znovuzavedení operačního systému). Po tomto
prvotním ubytování se v napadeném počítači virus pokračuje procházením adresářů
na dostupných discích (tedy i síťových), na nichž hledá soubory scr a exe
(druhé jmenované ovšem pouze ve formátu PE Portable Executable). Magistr přitom
pátrá v adresářích WinNT, Windows, Win95 a Win98. Infekční rutina je náhodně
aktivována s pravděpodobností 75 procent. V případě síťových disků se navíc
pokouší zapsat také do souboru win.ini.

Infekce
Nyní k vlastní infekční proceduře: Magistr napadá soubory velmi komplexním a
obtížně dezinfikovatelným způsobem. Nejprve svůj programový kód zašifruje
polymorfním způsobem, následně jej zapíše na konec napadeného souboru a k
získání kontroly nad infikovaným souborem modifikuje vstupní kód tak, že je zde
odskok právě na konec souboru do vlastního škodlivého kódu.
Aby se Magistr mohl šířit prostřednictvím elektronické pošty, zjišťuje
nastavení tří poštovních klientů (pokud jsou v systému instalovány): Outlook
Express, Netscape Messenger a Internet Mail and News. Víceméně standardním
způsobem poté prochází databáze e-mailů a na všechny posílá pomocí protokolu
SMTP sám sebe: nejprve v systému nalezne PE soubor do délky 132 KB, ten napadne
a následně jej připojuje k e-mailové zprávě. Předmět zprávy je náhodně sestaven
ze slov a vět, které nalezne v doc a txt dokumentech v systému (eventuálně na
lokálních discích).
Ve čtyřech případech z pěti Magistr náhodně nahradí druhé písmeno ve jméně
příjemce (pozor, ve jméně, nikoliv v e-mailové adrese!). Ve svém těle si nese
seznam deseti e-mailových adres uživatelů, jejichž počítači naposledy prošel.

Nepříjemnosti
Magistr zvládá několik projevů, které aktivuje v závislosti na systémovém datu
a čase. Může např. zablokovat možnost spuštění ikon z pracovní plochy počítače
(a to tak, že ikonami před kurzorem uhýbá). Přesně jeden měsíc po napadení
konkrétního počítače pak spustí rutinu vykradenou z viru CIH, která přepíše
všechny soubory na lokálním i sdílených discích textem "YOUARESHIT". A pod
Windows 9x navíc také smaže CMOS, flash a data na pevném disku.
1 1470 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.