Nové viry z české dílny

Na přelomu let 1999 a 2000 spatřily světlo světa dva viry, které mají spoustu věcí společnou. Jednak disponují někt...


Na přelomu let 1999 a 2000 spatřily světlo světa dva viry, které mají spoustu
věcí společnou. Jednak disponují některými zajímavými vlastnostmi a jednak v
jejich "pozadí" stojí čeští programátoři.
Prvním z této dvojice je počítačový virus Installer, což je první škodlivý kód
svého druhu navržený výhradně pro operační systém Windows 2000. Tvůrci virů
opět poněkud předběhli dobu tento operační systém přišel na trh až 17. února,
virus se však objevil podstatně dříve.
V rámci objektivity ale nutno podotknout, že virus Installer (lze se setkat i s
označením Inta) žádnou převratnou revoluci nepředstavuje. Je to totiž klasický
souborový virus pro Windows 95/98, který ovšem kontroluje verzi operačního
systému a je ochoten spolupracovat pouze s Windows 2000.
Virus Installer se šíří prostřednictvím PE.EXE (Portable Executable) souborů,
přičemž obratně využívá jejich vnitřního "nevyužitého místa". Na první pohled
se velikost infikovaného souboru nezmění. Installer napadá soubory s příponou
exe, com, dll, acm, ax, cnv, cpl, drv, mpd, ocx, pci, scr, sys, tsp, tlb, vwp,
wpc a msi. Některé antivirové programy přitom nemají takto široký "záběr", ale
kontrolují pouze několik málo vybraných přípon.
Installer v sobě nemá žádnou destrukční rutinu, jeho úkolem je pouze se šířit.
Toto se ovšem nedá říci o dalším viru, o kterém dnes bude řeč. Tím je
W32.Crypto (dále jen Crypto). Je to virus schopný se šířit pod Windows 98 a NT,
v některých případech také pod "pětadevadesátkami".
Crypto
Jakmile je soubor infikovaný virem Crypto spuštěn v systému, jako první vytvoří
v adresáři Windows 2 soubory: Wininit.ini a Kernel32.dll, který nakopíruje ze
složky Windows/System, přičemž jej předtím upraví k obrazu svému. "Úprava"
souboru Kernel32.dll spočívá v dodání šifrovacího mechanismu potřebného pro
"provoz" viru. Dalším krokem při "zabydlování se" viru v systému je smazání
následujících souborů, cílem čehož je znesnadnit detekci viru některými
antivirovými programy. Jmenovitě se jedná o soubory avp.crc, ivp.ntz,
anti-vir.dat, chklist.ms, chklist.cps, smartchk.ms, smartchk.cps, aguard.dat,
avgwt.dat a lguard.vps.
Mimo to (opět aby zakryl svou přítomnost) Crypto neinfikuje většinu běžně
používaných antivirových programů nebo aplikací, o nichž je známo, že před
spuštěním provedou kontrolu sebe sama. Crypto dále nenapadá jakékoliv soubory
začínající písmeny tb, f-, aw, av, nav, pav, rav, nvc, fpr, dss, ibm, inoc,
anti, scn, vsaf, vswp, panda, drweb, fsav, spider, adinf, sonique a sqstart.
Ovšem vraťme se zpět k čerstvě napadenému systému. V něm jako "časovaná bomba"
čeká soubor Kernel32.dll. Čeká na restartování operačního systému pokud se jej
podaří odstranit ještě před rebootem, žádnou škodu nenatropí. Ale při restartu
zavirovaného počítače je do paměti zavedena právě knihovna Kernel32.dll a
kdykoliv je vyžadovaný přístup k jakémukoliv souboru s koncovkou dll, dochází
zároveň k aktivaci viru. Jen při samotném bootování tak je infikováno kolem
dvou desítek souborů.
Výsledek "práce" tohoto viru je podobný jako v případě dnes již legendárního
One_Half: šifruje informace na disku. Jakmile virus odstraníte, přijdete o
dešifrovací klíč a tím i o veškerá zašifrovaná data. Virus tak uživatele
"vydírá" a vytváří operační systém na sobě závislý. Crypto pracuje s velice
silným kryptografickým algoritmem, přičemž obnova dat je bez záloh poměrně
obtížná.
Přitom všechny napadané knihovny dll jsou šifrované "za letu", stejně tak se
děje i jejich dekódování. Jinak řečeno na pevném disku jsou trvale uložené v
zašifrované podobě, ale jakmile je operační systém nebo jakýkoliv jiný program
volá, virus je v reálném čase převádí do čitelné podoby. Crypto přitom šifruje
pouze spustitelné soubory, nikoliv data.
0 0490 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.