Počítačový červ Qaz mýtů zbavený

Microsoft byl napaden hackery, kteří ke svým nekalým rejdům využili počítačového červa Qaz. Vzhledem k tomu, že je...


Microsoft byl napaden hackery, kteří ke svým nekalým rejdům využili
počítačového červa Qaz. Vzhledem k tomu, že je v celém případu mnoho nejasností
a protiřečících si tvrzení, podívejme se tomuto škodlivému kódu nyní na zoubek,
neb jeho role je mnohdy až démonizována.
Přitom na červu Qaz není nic zvláštního a je poměrně jednoduchý. Poprvé byl
zaznamenán v červenci letošního roku a kdyby se neobjevila jeho spojitost s
hacknutím Microsoftu, patrně by skončil někde v propadlišti dějin počítačových
virů. Je to síťový červ šířící se pod systémy Win32 (Windows 95/98/2000/NT),
který může pracovat i jako "backdoor" (tedy "zadní dvířka" "otevírá" přístup do
počítače zvenčí). Je to spustitelný exe soubor 120 KB dlouhý, napsaný v MS
Visual C++. Na rozdíl od jiných počítačových virů, které sice oplývají spoustou
funkcí, ale nejsou schopné života v reálném světě, Qaz byl zaznamenán "In the
Wild" (antivirové firmy jeho výskyt zaregistrovaly na několika místech naší
planety).
Jakmile je Qaz spuštěn, jako první úkon se v počítači "pojistí" proti tomu, aby
"nevymřel". Jinými slovy: Zaregistruje se do operačního systému Windows do
auto-start sekce: HRLMSOFTWAREMicrosoft WindowsCurrentVersionRun startIE =
"soubor qazwsx.hsq"
Přitom položka "soubor" má proměnlivou hodnotu, neb přejímá název souboru, z
něhož byl Qaz spuštěn. Nejčastěji je to ovšem soubor Notepad.exe viz níže.
Výsledkem registrace ve Windows je skutečnost, že Qaz je spuštěn při každém
startu nebo restartu operačního systému. Červ po dobu chodu počítače přebývá v
paměti jako aplikace (je viditelný např. v seznamu běžících aplikací). Vzápětí
po své registraci vykoná virus dvě rutiny šíření a backdoor.
Podívejme se nejprve na rutinu zajišťující šíření škodlivého kódu Qaz. Ta se
snaží rozšířit kopii červa přes lokální síť na disky, které má aktuálně
přihlášený uživatel nasdílené pro čtení a zápis. Qaz přitom na discích hledá
textový řetězec "win" takto pátrá po adresářích s operačním systémem Windows. V
něm pak soubor Notepad.exe (Poznámkový blok) přejmenovává na Note.com a pod
původním jménem Notepad.exe umisťuje kopii sebe sama.
Proč Qaz soubor Notepad.exe prostě nesmaže? V případě, že uživatel potřebuje
Poznámkový blok, aktivuje nevědomky škodlivý kód a ten poté Poznámkový blok
skutečně spustí. Uživatel tak nepojme žádné podezření.
Takové je tedy šíření červa Qaz po počítačové síti jak vidno, musí se nejprve
do sítě se sdílenými disky nějakým způsobem dostat. Jak pronikl do sítě
Microsoftu, je předmětem spekulací a šetření. Jako trojský kůň u nějakého
jiného programu? Někdo pronikl do sítě a záměrně jej zde zanechal? Anebo byl do
Microsoftu přinesen nevědomky a někdo pak už jen obratně "využil" vzniklé
situace? Byť se to zdá na první pohled nepravděpodobné, i tato varianta je
možná.
Qaz má totiž mimo výše popsané rutiny i backdoor aplikaci. Jinými slovy jakmile
je v počítači nainstalován, může být ovládaný prakticky odkudkoliv z vnějšího
prostředí (samozřejmě prostřednictvím sítě Internet). Tato backdoor rutina je
velmi primitivní (jako ostatně celý Qaz) a podporuje všehovšudy vykonání tří
příkazů:
lRun (vykonat stanovený příkaz)
lUpload (nahrát soubor na infikovaný počítač)
lQuit (ukončit rutinu červa)
Jen tři příkazy nic více a nic méně. Ovšem pozor! Je to dost na to, aby bylo
možné do infikovaného počítače zvenčí instalovat mnohem silnější a
nebezpečnější programy (stačí po sobě použít příkazy Upload a Run tedy nahrát
stanovený soubor do PC a vzápětí jej vykonat). Jinými slovy: Qaz je jen jakýmsi
pomyslným "drápkem" sloužícím k prvotnímu "zachycení se" v počítači. Skutečné
nebezpečí jde až v jeho stopách.
Možná vás napadá celkem logická otázka: Jak se potenciální útočník dozví, že
daný počítač je napaden tímto kódem, a tudíž volný pro další "zločinecké
rejdy"? Zcela jednoduše: Qaz totiž okamžitě po své aktivaci v příslušném
počítači pošle e-mailovou zprávu na jistou asijskou elektronickou adresu. V
této zprávě je uvedena jen jedna jediná informace: Unikátní IP adresa
infikovaného počítače...
0 2983 / Maf









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.