Pozor na koncovku VBS!

Rychlé šíření je základním tajemstvím úspěchu současných virů a internetových "červů" (počítačové viry, kt...


Rychlé šíření je základním tajemstvím úspěchu současných virů a internetových
"červů" (počítačové viry, které se šíří pomocí e-mailových zpráv, přičemž
uživatel jim musí "pomoci" v šíření tím, že je spustí většinou v dobré víře).
Aby co největší rychlosti šíření dosáhly, musejí je jejich autoři přizpůsobovat
komunikačním protokolům. A navíc do značné míry těží z naivity uživatelů.
Počítačový virus VBS.FreeLinks (dále jen FreeLinks) je antivirovým firmám známý
již od počátku loňského července. Od té doby ovšem zažil už několik více či
méně silnějších "comebacků" a pro uživatele počítačů v České republice je
důležitá především skutečnost, že se v míře poměrně hojné šíří také mezi našimi
uživateli. Virus přitom nejvíce "hřeší" na svou koncovku VBS, která mnoha (i
zkušeným!) uživatelům nepřijde podezřelá, a tudíž bez jakýchkoliv obav příchozí
soubor LINKS.VBS v e-mailové zprávě otevírají. Upozorňujeme proto (pokolikáté
už?), že na jakýkoliv soubor připojený k e-mailové poště je třeba pohlížet jako
na potenciálně nebezpečný, byť by se tvářil sebenevinněji.
Virus FreeLinks je napsaný v jazyku VBScript. Takovéto programy běžně operují
pouze pod Windows 98 a 2000, ale mohou se používat i pod jinými verzemi tohoto
operačního systému (především NT) ovšem pouze v případě, že uživatel dodatečně
nainstaloval Windows Scripting Host.
Jakmile uživateli přijde v e-mailové zprávě soubor links.vbs a on jej navzdory
všem varováním otevře, do počítače je vypuštěn skriptovací soubor
C:WindowsSystemRundll.vbs. Poté virus FreeLinks změní registr operačního
systému tak, aby byl po každém restartu počítače vykonán soubor Rundll.vbs. A
aby uživatel právě napadaného počítače nepojal žádné podezření, virus zobrazí
dialogové okno s informací:
This will add a shortcut to free XXX links on your desktop. Do you want to
continue?
Pokud se rozhodnete pro "Yes" (či "Ano"), virus vytvoří na pracovní ploše ikonu
se jménem "Free XXX Links". Jedná se o internetový odkaz směrovaný na adresu
www.sublimedirectory.com. Pokud se rozhodnete pro "No" ("Ne"), odkaz se sice na
pracovní stránce nevytvoří, ale virus bude pokračovat ve své záškodnické
činnosti v systému dále.
Toto pokračování představuje pátrání po lokální síti a hledání sdílených disků.
Je-li hledání úspěšné, nakopíruje se FreeLinks do rootových adresářů těchto
disků, aby se z něj mohli "radovat" i ostatní uživatelé sítě.
Jak se šíří
Jak jsme již uvedli výše, virus FreeLinks se šíří pomocí e-mailu, když využívá
aplikaci MS Outlook. Z ní použije především adresář a na každou adresu v něm
uvedenou pošle infikovanou zprávu. Při tom využívá (podobně jako většina
podobných "výtvorů", neb autoři virů si na nějaké copyrighty příliš nepotrpí)
podobného rozesílacího automatu jako slavná Melissa. Tentokrát ale nedochází k
posílání infikovaných dokumentů Wordu, ale přímo vlastního viru. Navíc
nedochází k napadení jen prvních padesáti adres, ale všech v adresáři a to při
každém spuštění počítače (Melissa tuto činnost vykonala pouze jednou).
FreeLinks díky zcela bezhlavému rozesílání zpráv dokáže ve velmi krátké době
zahltit poštovní servery (zvláště dojde-li v jedné organizaci k napadení
několika PC najednou).
Infikovaná e-mailová zpráva má následující podobu:
Předmět: Check this
Text: Have fun with these links. Bye.
Virus se k této zprávě připojuje v podobě výše uvedeného souboru Links.vbs. Aby
FreeLinks zůstal v systému napadeného počítače co nejdéle utajený, maže ze
složky "Odeslaná pošta" stopy své činnosti odeslané e-maily.
Po restartu zavirovaného počítače virus "vypustí" soubor Links.vbs do adresáře
WINDOWS. Poté začne hledat adresář C:MIRC a v něm soubor MIRC32.EXE. Pokud se
zadaří a nalezne jej, vytvoří soubor script.ini, kterým nahradí stávající. Poté
se FreeLinks pokusí vyhledat dalšího IRC klienta: pátrá v adresáři C:PIRCH98.
Pokud jej nalezne, nahrazuje soubor events.ini svým vlastním.
Po této akci se oba IRC klienti (mIRC a Pirch98) stanou automatickými šiřiteli
viru, jakmile uživatel napadeného počítače vstoupí na chatový kanál IRC.
9 0017 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.