Nová láska je tu

Na počátku května otřásl počítačovým světem e-mailový červ (speciální případ počítačového viru, který se ...


Na počátku května otřásl počítačovým světem e-mailový červ (speciální případ
počítačového viru, který se šíří prostřednictvím elektronické pošty) Iloveyou
mezi novináři (kteří už překřtili virus CIH na "Černobyl") se mu začalo
familiárně říkat "Láska". Samozřejmě, že jeho obrovským "úspěchem" se nechala
inspirovat spousta experimentátorů a snažili se na jeho základě vytvořit další
varianty. Uživatelsky velice příjemné rozhraní viru (napsaný pomocí Visual
Basic Script VBS, což může editovat každý uživatel PC např. pomocí Notepadu)
vedlo k tomu, že se ve světě objevily desítky jeho variant některé více a
některé méně odlišné od původní "mateřské" verze.
Jednou z nejzajímavějších (a zároveň nejdestruktivnějších) novinek na poli
počítačových virů, zjevně inspirovanou aférou Iloveyou, se stal e-mailový červ
NewLove (resp. Vbs.NewLove). Stejně jako jeho dřívější vzor vyniká schopností
masového rozesílání se na všechny strany.
NewLove.A je svým způsobem amorfní kód při své cestě světem se postupně jeho
podoba mění, aby se detekce antivirovými prostředky stala obtížnější. Tato jeho
vlastnost je patrná již v podobě e-mailové zprávy, kterou se šíří světem:
Předmět: FW: [JMÉNO].[EXT]
Text je prázdné pole.
Příloha: [JMÉNO].[EXT].Vbs
Přitom jméno [JMÉNO] si náhodně vybere z infikovaného počítače z dokumentů
uložených v nabídce Start/Dokumenty. Autor škodlivého kódu takto zamýšlel
zvýšit jeho důvěryhodnost, aby se příjemci zdál e-mail co nejméně podezřelý a
bez většího přemýšlení na něj klikl. (Nespouštějte nevyžádané přílohy,
nespouštějte nevyžádané přílohy a ještě jednou: Nespouštějte nevyžádané
přílohy!) V případě, že je nabídka Start/Dokumenty prázdná, NewLove generuje
jméno náhodně (do maximální délky 30 znaků díky čemuž ovšem mnohdy nedává smysl
a setkat se lze například s předmětem zprávy "FW:VPAVQXCUUNGUFLTJSLNA
UTQZXJUG.Bmp"). A v případě, že takováto nabídka na disku vůbec není (např. ve
Windows NT), je vygenerováno prázdné jméno.
A ještě jedním způsobem se projevuje polymorfismus. NewLove totiž svoje tělo
prokládá řádky nesmyslů (před každý povelový řádek vkládá náhodný počet mezer a
řádky prokládá náhodně vygenerovanými znaky obsahujícími velká písmena bez
mezer). Ty mu sice nikterak nebrání v činnosti, ale dělají kód nepřehledným a
neskutečným způsobem jej "nafukují". S každým dalším rozesláním je tak NewLove
mnohem větší než před touto akcí. Má-li tedy první generace velikost 110
kilobajtů, pak druhá 248 kilobajtů, třetí 403 kilobajtů, čtvrtá 585 kilobajtů,
šestá 1 040 kilobajtů atd.
V případě náhodného výběru jména souboru jej NewLove doplňuje o jednu koncovku
z následujícího seznamu: doc, xls, mdb, bmp, mp3, txt, jpg, gif, mov, url, htm
a txt. Koncovka "txt" je zde uvedena dvakrát záměrně, neboť přesně takto vypadá
seznam koncovek, jež NewLove používá. Praktický dopad to ovšem nemá žádný,
vyjma toho, že pravděpodobnost výběru koncovky "txt" je oproti ostatním
dvojnásobná.
Co se v nešťastném počítači děje po spuštění přílohy infikovaného e-mailu?
NewLove se po aktivaci (nejčastěji dvojitým poklepáním myší) rozešle na adresy,
které mu "nabídne" MS Outlook a to v podobě výše popsané zprávy. Tato
replikační rutina je k dispozici pouze v případě, že je v počítači právě MS
Outlook. Ovšem pokud jej nemáte, alespoň se aktivuje destrukční rutina viru. Ta
vám "zničí" počítač. Samozřejmě, že obrazně řečeno: Probere všechny lokální i
síťové disky, které jsou k dispozici, a VŠECHNY soubory nahradí svou kopií.
Tedy například command.com se nově stává command.com.vbs. Výsledkem je naprosté
zničení všech dostupných souborů.
0 1623 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.