Otevřete e-mail a napadne vás!

Dlouhá léta platilo, že pouhým otevřením e-mailové zprávy nelze v žádném případě aktivovat počítačový virus....


Dlouhá léta platilo, že pouhým otevřením e-mailové zprávy nelze v žádném
případě aktivovat počítačový virus. Viry šířící se přes e-mail bez výjimky
využívaly připojených souborů (přílohy) a až teprve v okamžiku, kdy uživatel
porušil základní bezpečnostní pravidla a spustil je, byly schopné se aktivovat.
Bohužel, v polovině listopadu 1999 toto dogma padlo a první virus, který se
aktivuje pouhým otevřením e-mailu, je na světě. Jmenuje se BubbleBoy a my jsme
vám o něm základní informaci přinesli již v CW 47/99.
Naštěstí se nejedná o takový unikát, jak by se na první pohled mohlo zdát. Již
několikrát specialisté upozorňovali na některé bezpečností "díry" v operačních
systémech a příslušném programovém vybavení, které by mohly vést ke spuštění
"nepřátelského" kódu přímo z e-mailové zprávy. BubbleBoy tak využívá pouze
jednu z těchto již známých děr. Pokud chcete mít stoprocentní jistotu, že
budete setkání s ním ušetřeni, navštivte následující stránku, kde najdete
"záplatu" pro operační systém Windows:
http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP.
BubbleBoy se šíří na platformě MS Windows s Internet Explorerem 5.0 a MS
Outlookem 98 nebo 2000 či Express. Neobsahuje žádnou přílohu, virus se aktivuje
přímo z vlastního těla e-mailu. Jakmile je e-mailová zpráva otevřena, virus
přebírá kontrolu.
Ke svému šíření využívá BubbleBoy dvou triků. Prvním z nich je vlastnost
aplikace Outlook, která umožňuje odesílat a přijímat zprávy v HTML formátu.
HTML přitom může obsahovat skript, který je automaticky vykonán, kdykoliv dojde
k jeho zobrazení (prostě kdykoliv uživatel otevře zprávu). Druhým trikem je
využití chyby známé jako "Scriplet.Typelib", která umožňuje obejít bezpečnostní
nastavení v Internet Exploreru. Tato chybka dovoluje HTML skriptu vytvářet
soubory na disku.
BubbleBoy díky tomu vytváří soubor update.hta (HTML aplikace, což je nový typ
souboru přicházející s Internet Explorerem 5), který obsahuje hlavní kód viru.
Soubor je uložen ve složce C:/WINDOWS/START MENU/PROGRAMS/START UP, díky čemuž
je aktivován při následujícím restartu počítače. V tomto okamžiku však může
virus narazit, neboť má chybku. Automaticky předpokládá, že operační systém je
instalován v adresáři C:WINDOWS. Pokud tomu tak není (může být např. v
adresáři WIN, WIN95, WINDOWS 95 či kdekoliv jinde), virus nedokáže zaútočit a
zcela selhává. Po restartu počítače je update.hta vykonaný jako regulérní
soubor. Spouští přitom aplikaci Outlook ve skrytém okně a vytváří nové zprávy
pro všechny adresy v adresáři. E-mailová zpráva má samozřejmě HTML formát a
obsahuje vlastní tělo viru. Má následující podobu:
Od: [jméno infikovaného uživatele]
Předmět: BubbleBoy is back!
Text zprávy: The BubbleBoy incident, pictures and sounds
http://www.towns.com/dorms/tom/bblboy.htm
Aby nebyl virus rozesílán vícekrát či aby jeden počítač nenapadl několikrát,
"označkuje" si jej v systémovém registru následujícím klíčem:
HKEY_LOCAL_MACHINESoftwareOUTLOOK.BubbleBoy= OUTLOOK.BubbleBoy 1.0 by Zulu. A
nakonec vypíše na obrazovku následující hlášení: System error, delete
"UPDATE.HTA" from the startup folder to solve this problem. Jinými slovy, virus
sám žádá uživatele, aby jej vymazal a odstranil ze systému. (Ovšem samozřejmě
až poté, co vykoná svou "práci".)
BubbleBoy také mění registrační data Windows (k tomuto dochází v okamžiku, kdy
je spouštěn soubor update.hta). Registrovaný uživatel je změněn na "BubbleBoy"
a organizace na "Vandelay Industries". Podtrženo, sečteno virus BubbleBoy v
současné době nepředstavuje pro uživatele počítačů velké nebezpečí (mimo jiné
je schopen napadat pouze anglické a španělské mutace Windows). Ovšem zároveň
varuje do budoucna a ukazuje, kudy by se počítačové viry mohly ubírat...
9 3436 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.