Napadené diagramy

Visio je počítačová aplikace, která je populární především mezi studenty, neboť umožňuje velmi snadno vytvářet ...


Visio je počítačová aplikace, která je populární především mezi studenty, neboť
umožňuje velmi snadno vytvářet různé diagramy a schémata. Od verze 5 neobsahuje
pouze VBA (Visual Basic for Applications), ale umožňuje také uživatelům psát a
především používat makra pro zjednodušení operací. A je vcelku logické, že
přítomnost takto silných nástrojů tak dlouho lákala pozornost tvůrců virů až ji
přilákala...
V průběhu letošního ledna se zcela nezávisle na sobě s minimálním časovým
odstupem objevily dva nové viry právě pro Visio. První z nich má název Radiant,
druhý se jmenuje Unstable.
O pomyslný "chlup" dříve se ale objevil virus Radiant, jehož neznámý autor tak
získal pomyslnou palmu vítězství. Radiant je velmi podobný makrovirům, které
jsou známé z aplikací MS Office a také funguje podobným způsobem.
Radiant sám o sobě je velmi primitivní. Obsahuje jednu funkci, která je spojená
s příkazem "BeforeDocumentClose" (aktivuje se v okamžiku, kdy dochází k
aktivaci zavírání dokumentu). Jakmile je tato funkce volána, virus přebírá
kontrolu a infikuje všechny otevřené dokumenty. Vzhledem ke struktuře aplikace
Visio virus nenapadá pouze otevřené dokumenty, ale také šablony a temporary
(dočasné) soubory.
Šablony v aplikaci Vision jsou velmi podobné svým "sestrám" z aplikace Word:
Také obsahují data pro časté používání, přičemž jsou automaticky otevírány a
používány v případě potřeby. V okamžiku, kdy jsou šablony infikované virem
(platí pro Visio i Office), je při každém jejím použití napaden i dokument
(resp. všechny otevřené dokumenty). Díky této vlastnosti je Radiant schopen se
neobyčejně rychle šířit.
Virus při každé své aktivaci umisťuje do rootového adresáře disku c: soubor
index.html, který obsahuje zprávu, kterou můžete vidět na obr. výše.
Virus Radiant na konci svého makra nese ještě řádek, který je pravděpodobně
"podpisem" neznámého autora. Podle všeho se jedná o zašifrované informace,
ovšem není znám dešifrovací klíč, takže nám tyto údaje zůstávají utajeny.
Stříbrná medaile
Druhým počítačovém virem pro Visio je Unstable. Pravděpodobně se i jeho
programátor chtěl stát nositelem titulu "autor prvního viru pro Visio", ovšem
byl předstižen. Unstable je ovšem oproti svému předchůdci mnohem komplexnější,
navíc používá šifrování a speciální triky ke skrytí se v napadených souborech.
Unstable napadá dokumenty, šablony a dočasné soubory ve Visio v okamžiku, kdy
dojde k otevření infikovaného dokumentu. Infikuje je tak, že do nich sám sebe
nakopíruje. Aby poznal již napadené soubory, zapisuje si do jejich těla text
"Visio2k.Unstable" a takto "ocejchované" dokumenty již neinfikuje. Aby zakryl
svou přítomnost, virus zavře všechna otevřená okna ve VBA editoru, zakáže menu
Visual Basic Editoru a také menu "Vzor".
Virus se projevuje vždy v okamžiku, kdy je systémové datum nastaveno na 31. dne
daného měsíce. V takovém okamžiku "obšťastní" uživatele výše otištěným
dialogovým oknem.
Aplikace Visio měly velkou šanci stát se prvními "nemicrosoftími" programy, pro
něž se budou po světě šířit makroviry. Ovšem ve stejné době, kdy se oba výše
popsané viry objevily, byla společnost Visio zakoupena Microsoftem.
0 1052 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.