Poněkud indiskrétní červ

Škodlivý kód, na který se dnes podíváme trochu podrobněji, byl neznámým programátorem "vytvořen k obrazu lidskému"...


Škodlivý kód, na který se dnes podíváme trochu podrobněji, byl neznámým
programátorem "vytvořen k obrazu lidskému" mnohem více než "běžný" počítačový
virus. E-mailový červ Sysid je totiž mimořádně indiskrétní z infikovaného
počítače rozesílá do světa prostřednictvím elektronické pošty náhodně vybrané
dokumenty. Že nedělá rozdíly mezi dokumenty soukromými a méně soukromými, jistě
netřeba zdůrazňovat.

Sysid je klasickým Windows exe souborem, který je napsán v Delphi, přičemž se
světem šíří zkomprimovaný pomocí utility Aspack.exe. Velikost komprimovaného
prográmku je 200 kilobajtů, po dekomprimování "nabobtná" na 400 kilobajtů.
Podobně jako většina podobných škodlivých kódů také Sysid využívá pro svou
činnost aplikaci MS Outlook. Jedinou alespoň trochu příjemnou zprávou je
skutečnost, že kód neobsahuje kromě šířícího mechanismu žádnou nebezpečnou
rutinu.

Sysid skrývá po příchodu do systému pomocí zprávy elektronické pošty s
infikovanou přílohou svou skutečnou totožnost tak, že se vydává za "Personal ID
Generator". Tato utilita ovšem využívá znaky čínského kódování, takže není
korektně zobrazena pod nečínskými verzemi operačního systému Windows.

Ve stejném okamžiku, kdy červ zobrazí aplikační okno "Personal ID Generator",
dochází k jeho instalaci do napadaného počítače. Tuto činnost vykonává tak, že
se snaží nalézt, ve kterém adresáři se nacházejí Windows a jejich systémové
složky. Do nich se pak kopíruje jako sysid.exe. Pokud se adresář s Windows
nepodaří detekovat, snaží se o zápis do pevně daných adresářů:
C:WINNTSYSTEM32SYSID.EXE
C:WINNTSYSID.EXE
C:WINDOWSSYSTEMSYSID.EXE
C:WINDOWSSYSID.EXE
Aby byl červ spuštěn pokaždé, kdykoliv jsou Windows aktivovány, zaregistruje se
do systémového registru sekce auto-run:
HKLMSoftwareMicrosoft
WindowsCurrentVersionRun WindowsVersion = "sysid"
Přitom využívá zajímavého triku ke skrytí své přítomnosti v systému. Jakmile je
aktivován, ihned vymaže tento záznam z registru. Když je činnost červa ukončena
(společně s ukončením činnosti operačního systému), obnovuje tento záznam. Po
celou dobu běhu Windows je ovšem Sysid v systému aktivní jako skrytá (servisní)
aplikace. Výsledkem je, že přestože je aktivní, není v registrech Windows o
jeho přítomnosti žádný záznam ten prostě neexistuje od okamžiku, kdy operační
systém dokončí startovací proceduru, až do chvíle, kdy je jeho běh ukončen.
Záznam tak fakticky existuje pouze ve vypnutém počítači...
Šíření červa
K tomu, aby se Sysid šířil pomocí elektronické pošty, využívá speciální
aplikaci napsanou v jazyce Visual Basic Script, kterou si "nese" s sebou. VBS
program má jméno winver.vbs a je vytvářen v systémovém adresáři ve složce
Windows. Nejprve získává přístupu k MS Outlooku, v něm vyhledává seznam
kontaktů v AddressBooku. O co se snaží dále, jistě není těžké uhádnout. Ano,
vytváří infikované zprávy a snaží se je odeslat na adresy umístěné v tomto
seznamu. Množství vytvořených infikovaných e-mailů přitom závisí na množství
adres v adresáři: Pokud je jich méně než 200, Sysid náhodně vybere deset
procent z nich a tyto pak "obšťastní" svou kopií. Pokud je jich více než 200,
červ se snaží rozšířit na pouhá dvě procenta z nich. Na druhou stranu se ovšem
o tuto rutinu pokouší po každém rebootování Windows.
Tělo zprávy nesoucí infikovanou přílohu s virem je prázdné. "Předmět" zprávy je
přitom náhodně vybírán z "předmětů" již dříve odeslaných zpráv ze složky
"Odeslaná pošta" (Sent items).
Infikovaný e-mail s sebou nese do světa hned čtveřici (!) připojených souborů.
Prvním z nich je zkomprimovaná kopie viru (viz výše) ve formátu exe se jménem
náhodně vybraným z databáze více než jednoho sta názvů. Jedná se např. o názvy
98fix, Book, Phone, Game, ScreenSaver, Joke, Mp3Player, Girl, GirlGame, PlayBoy
či SexPicture (vše samozřejmě s koncovkou exe). Druhý soubor připojený k
infikovanému e-mailu je náhodně vybrán ze souborů s příponou jpeg, jpg, doc a
xls ve složce "C:My Documents". Zbývající dva přiložené soubory jsou náhodně
vybrané již dříve odeslané zprávy z Outlooku ze "Sent items".
Právě tři posledně uvedené soubory představují největší nebezpečí Sysidu jedná
se o náhodně vybrané informace z počítače, které putují na náhodně vybrané
adresy. Že by se někomu mohla dostat do rukou data, která pro něj původně vůbec
nebyla určena, jistě netřeba dvakrát zdůrazňovat...
0 3227 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.