Po Černobylu přichází Císař

Není tomu až tak dávno (přesněji 26. dubna), co se svými destruktivními účinky projevil počítačový virus CIH alia...


Není tomu až tak dávno (přesněji 26. dubna), co se svými destruktivními účinky
projevil počítačový virus CIH alias Černobyl. Na celém světě za sebou zanechal
něco mezi sedmi sty tisíci a jedním milionem počítačů se zničenými daty (sice
se objevilo několik zaručených způsobů, jak data zachránit, ale to nebylo možné
vždy a všude). Neuplynulo ani pár měsíců a CIH má na světě "bratříčka" virus s
honosným názvem Emperor, Císař.
V první chvíli to vypadalo, že půjde o ještě větší katastrofu než v případě CIH
alespoň to naznačovala zpráva vyslaná do světa výzkumným střediskem Kaspersky
Lab (působícím v Moskvě). Ovšem záhy vyšlo najevo, že se virus pravděpodobně
nikdy nedočká valného rozšíření. A to proto, že je samá chyba a nepřesnost.
Naštěstí pro uživatele, neboť pokud by se autorovi záměr zdařil, znamenalo by
to obrovské nebezpečí. Autor viru Emperor totiž "vykradl" některé funkce z CIH
a pokusil se je dovést k ještě podstatně většímu destrukčnímu účinku.
Následující popis tedy berte spíše jako zbožné přání typu: Co by se dělo, kdyby
se podařilo záměr dovést do zdárného konce. Materiál přinášíme především jako
ilustrační důkaz, že viry jsou čím dál lépe vymyšlené (byť v daném případě
značně fušersky provedené) a že jejich nebezpečí není dobré podceňovat.
Vlastnosti nového viru
Vir Emperor má délku 5 826 bajtů, přičemž jeho cílem jsou soubory exe a com.
Napadá je tak, že vkládá svůj kód na jejich konec. Mimo to přepisuje MBR
pevného disku a také boot sektory disket samozřejmě, že zde zavádí vlastní
nahrávací rutinu, která jej umisťuje do paměti vždy při rebootování.
Původní záměr autora viru byl následující: Při spuštění infikovaného souboru si
"Císař" přidělí část paměti, vloží do ní svůj kód, obsadí přerušení INT 12h,
13h a 21h a infikuje MBR sektor pevného disku. Emperor ukládá MBR a boot
sektory na vybraná místa na disku, ale šifruje je a narušuje jejich kódy tak,
že jsou použitelné pouze při přítomnosti viru v paměti. Emperor tak uživatele
staví před hotovou věc: Nechej mě být a můžeš pracovat; smaž mě a rozluč se s
daty.
Ovšem tak jednoduché to ve skutečnosti není. Virus v počítači má totiž ještě
jednu nepříjemnou funkci: "Ničí" data na disku a útočí na Flash BIOS podobně
jako nechvalně známý virus CIH. Na obrazovce se v tom okamžiku objeví text:
EMPEROR
I will grind my hatred upon the loved ones.
Despair will be brought upon the hoping childs of happiness.
Wherever there is joy the hordes of the eclipse will pollute sadness and hate
under the reign of fear.
In the name of the almighty Emperor...
Tato funkce je aktivována v okamžiku, objeví-li virus v paměti nějaký "čisticí"
program anebo je-li systém rebootovaný mezi pátou a desátou hodinou dopolední.
V kódu viru lze nalézt též následující text, jakýsi "podpis" autora:
the EMPEROR virus
written by Lucrezia Borgia
In Colombia, 1999
Jak se bránit
Jako první dokázal virus Emperor detekovat jen u nás relativně málo známý ruský
antivirový program AVP (o jeho kvalitách svědčí mj. i skutečnost, že se trvale
objevuje na předních místech v hodnocení prestižního měsíčníku Virus Bulletin).
Lze ovšem očekávat, že rychle zareagují i ostatní dodavatelé antivirových
produktů.
Ovšem ještě jednou podotýkáme popsaný scénář působení viru je pouze zbožným
přáním autora, které se zásluhou nepřeberného množství chyb v kódu viru
nepodařilo realizovat. Ovšem není vyloučeno, že se někdo nechá virem Emperor
inspirovat nebo že se na "trhu" v dohledné době objeví jeho nová (a funkční)
verze.

9 1854 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.