Navidad smršť z elektronické pošty

Nejnovější pohromou pro uživatele počítačů i počítače samotné se stal virus Navidad. Pokud bychom měli být techn...


Nejnovější pohromou pro uživatele počítačů i počítače samotné se stal virus
Navidad. Pokud bychom měli být technologicky zcela přesní, nejedná se o virus,
ale o počítačového červa (z anglického "worm"). Zatímco virus potřebuje pro
svůj "život" hostitelské prostředí, počítačový červ je škodlivým kódem sám o
sobě a pro svou úspěšnou činnost vyžaduje asistenci uživatele počítače alespoň
v té míře, aby jej spustil (červi se zpravidla šíří jako příloha elektronické
pošty).
Tomáš Přibyl
Tak tedy: Červ Navidad (což ve španělštině znamená "Vánoce") využívá funkce
MAPI, přičemž sám o sobě je to "obyčejný" exe soubor o délce cca 32 kilobajtů.
Právě ona "obyčejná" koncovka a mohutné šíření jsou na něm velice zarážející je
překvapivé, že v době různých "dvojitých" či nezobrazovaných koncovek dokáže
být podobná aplikace velice úspěšná. A to ještě ke všemu obsahuje poměrně
závažnou chybu!
Mimochodem, možná jste se v posledních dnech setkali také se škodlivým kódem
W32/Navidad@M, I-Worm/Navidad, W32/Watchit, Win32/Navidad.Worm či
Troj_Navidad.A. Pak vězte, že ve všech případech jde o Navidad ovšem
pojmenování se liší dle toho, který antivirový program používáte.
Šíření červa
Červ se šíří v souboru navidad.exe, který do počítače dorazí jako příloha
e-mailové zprávy. Přitom má na první pohled ikonu, která připomíná čárový kód.
Pokud uživatel neodolá a pokusí se jej spustit, Navidad nejprve vykoná svou
šířící rutinu. Nejdříve vyhledá mapi32.dll knihovnu, což mu umožní
spolupracovat s jakýmkoliv klientem podporujícím MAPI. Poté pokračuje tak, že
vyhledá všechny nepřečtené e-maily a z nich získá adresy, na něž rozešle svou
kopii.
Další rutinou, kterou vykoná, je instalace do napadeného počítače. Navidad se
nakopíruje do systémového adresáře Windows (zpravidla c:windowssystem) pod
jménem winsvrc.vxd. Zároveň se také zaregistruje do systému, ale pozor:
Chybička se vloudila, a tak neznámý pisatel viru uvedl odkaz na neexistující
soubor winsvrc.exe namísto winsvrc.vxd. Z toho vyplývá, že Navidad v
infikovaném počítači již není dále funkční.
Při registrování se do systému červ modifikuje následující klíče v registrech:
SOFTWAREMicrosoftWindowsCurrentVersionRun Win32BaseServiceMOD =
%System%winsvrc.exe
HKEY_CLASSES_ROOTexefileshellopencommand{Default} = %System% winsvrc.exe
%1 %*.
(Kde %System% je právě jméno systémového adresáře Windows.)
Mimo to červ vytváří také nový prázdný klíč
HKEY_CURRENT_USERSoftwareNavidad.
První dva výše uvedené klíče přitom zajišťují to, že při volání jakéhokoliv exe
souboru bude nejprve vykonán programový kód červa. Přesněji řečeno: Toto byl
původní záměr. Ve skutečnosti je zde ale ona výše uvedená chyba, takže se
systém pokouší namísto jakéhokoliv volaného exe souboru spustit neexistující
prográmek winsvrc.exe. Z toho vyplývá, že v napadeném počítači není možné
spustit žádný exe soubor. Namísto toho je vypisováno chybové dialogové okno:
Windows cannot find winsvrc.exe
This application is needed for opening files of type "Application".
Špatná zpráva tedy je, že počítač není možné korektně používat, následuje ovšem
dobrá, mnohem důležitější: Data a soubory na počítači jsou netčené a zcela v
pořádku. Navíc jim nic nehrozí právě vzhledem k další nefunkčnosti Navidadu.
Přesto mnozí zoufalí uživatelé situaci řeší přeinstalováním operačního systému.
Potvrzují tak pravidlo, že neodborný zásah zpravidla natropí více škody než
samotný virus.
Napravení škod
Je ale pravdou, že i zkušenější uživatelé mohou mít s obnovou registrů do
původního stavu potíže: Vzhledem k výše uvedenému problému se spouštěním exe
souborů není možné spustit ani utilitu regedit.exe. Zde ale pomůže poměrně
jednoduchý trik: Stačí ji přejmenovat na regedit.com a následně spustit. Poté
už můžete vesele obnovovat registry do původního stavu. Většina antivirových
firem pak nabízí na svých stránkách jednoduché skripty k obnovení registrů.
Po opravě registrů je nutné v seznamu běžících úloh (např. pod Windows 95 či 98
po stisknutí kláves Ctrl + Alt + Del) ukončit všechny běžící programy s názvy
navidad a winsvrc. Poté je zapotřebí ještě z počítače odstranit všechny kopie
navidad.exe a winsvrc.vxd. Po restartu (to už je ovšem jen úkon "pro jistotu")
je počítač "čistý".
Činnost červa
Vraťme se ale ještě k projevům červa. Jakmile je Navidad vykonán (tedy rozšíří
se pomocí elektronické pošty a pokusí se instalovat do počítače), zobrazí
následující dialogové okno:
Error
UI
[OK]
Červ navíc vytváří ikonku "modré očičko" v systrayi (příkazová lišta Windows).
Je to pro uživatele ten nejlepší indikátor, že počítač byl napaden Navidadem.
Pokud se pokusíte na "očičko" kliknout, zobrazí se dialogové okno s
následujícím tlačítkem:
Nunca presionar este boton (Nikdy neklikejte na toto tlačítko)
A pokud na tlačítko kliknete, následuje další dialog:
Feliz Navidad
Lamentablemente cayo en la tentacion y perdio su computadora (Bohužel nechal
jste se zlákat a přijdete o svůj počítač)
[OK]
To je ale naštěstí vše, mimo těchto dvou dialogových oken není vykonána žádná
destrukční rutina.
0 3178 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.