Silver putuje světem

Ano, je to tak. Silver putuje světem nejedná se ovšem o žádného hollywoodského hrdinu, ale o počítačový virus (čeh...


Ano, je to tak. Silver putuje světem nejedná se ovšem o žádného hollywoodského
hrdinu, ale o počítačový virus (čehož se ostatně pravidelní čtenáři Světa virů
jistě dovtípili sami).
Jedná se o poměrně nebezpečný výtvor, který je schopen se v napadeném počítači
docela slušně zabydlet, takže je mimořádně obtížné jej odstranit. Ke svému
šíření využívá Internet (či přesněji e-mailovou poštu) a IRC. Stejně tak je
ovšem schopen z jedné napadené lokální stanice zaútočit na celou síť (např.
vnitrofiremní). Silver je programový kód dlouhý 90 kilobajtů, ovšem světem
putuje i jeho komprimovaná varianta, takže tento údaj může kapku kolísat.
Hned dvou různých metod používá Silver k šíření pomocí elektronické pošty.
Nejprve vyhledává v napadeném počítači poštovního klienta Eudora. Pokud uspěje
a nalezne jej, získává databázi odchozích e-mailů (soubor out.mbx), z nějž
vybere adresy a na všechny z nich rozešle zprávu se svou kopií v příloze:
Předmět: concerning last week...
Text: Please review the enclosed and get back with me ASAP. Double click the
Icon to open it.
Příloha: c:silver.exe
Pokud Eudora v počítači není, Silver nesloží (obrazně řečeno) ruce do klína,
ale pokusí se zajistit rozeslání infikovaných e-mailů nezávisle na používaném
klientovi. Dělá to tak, že používá MAPI funkce, pomocí nichž se spojí s
instalovaným e-mailovým klientem. Z něj získá podobně jako v předchozím případě
odeslané zprávy, vyhledá e-mailové adresy a použije je k šíření svých kopií. V
takovémto případě má ovšem e-mailová zpráva jinou podobu:
Předmět: Re: now this is a nice pic :-)
Text: Thought you might be interested in seeing her
Příloha: naked.jpg.exe
Další možnosti
Silver umí systém infikovat i pomocí IRC či PIRCH. Po výše popsaném šíření
pomocí e-mailů hledá adresáře c:mirc, c:mirc32 či c:pirch98. Nalezne-li je,
přepisuje IRC skripty svým programovým kódem, jenž zajišťuje zaslání jedné
kopie Silveru každému uživateli, který se připojí na kanál, na němž je
přihlášená zavirovaná stanice. Skript má mimo toto ještě další vlastnosti:
Jakmile uživatel pošle na IRC kanál vzkaz se slovíčkem "silverrat", okamžitě
jej nahradí vzkazem "I have the Silver Rat virus" (tímto způsobem vlastně
varuje uživatele před tím, že je infikovaný).
Další věcí, kterou Silver umí a patřičně ji využívá, je šíření přes lokální
síť. Aby mohl infikovat i vzdálené počítače, skenuje všechny disky od c: do z:
a hledá na nich adresář s názvem Windows. Pokud jej nalezne, nakopíruje se do
něj a vzápětí se registruje v auto-run sekci souboru win.ini. Takto dochází k
napadení počítačů v síti, které mají s infikovanou stanicí sdílené disky pro
čtení a zápis.
Nyní se konečně dostáváme k další poměrně důležité rutině Silveru, ke způsobu
jeho instalace do počítače. Po svém průniku do počítače se nakopíruje jednak do
adresáře Windows (pod názvy silver.exe, silver.vxd, naked.jpg.exe,
naked.jpg.scr) a jednak do rootu disku c: (silver.exe). Následně se zapíše do
registrů na 4 různá místa.
Všechny tyto zápisy jsou přitom doplněné o instrukci "Silver Rat" =
Windowssilver.exe, přičemž cesta adresáře Windows není konstantní, ale do
zápisu je umisťována aktuální složka s operačním systémem. Výsledkem tohoto
kroku je, že Silver je aktivován čtyřikrát (!) při každém spuštění Windows.
Jinými slovy i infikované e-mailové zprávy jsou rozeslané (stejně jako jsou
vykonané další rutiny) čtyřnásobně.
Toto není ovšem jediná příležitost, kterou Silver využívá ke svému spuštění.
Windows mají v systémovém registru i záznamy, které jsou využívané při
spouštění programů či dokumentů s různými extenzemi. A právě do těchto záznamů
Silver "nahlíží" a modifikuje je. Takže při volání zhruba jednoho sta různých
koncovek je zajištěno automatické přesměrování na soubor silver.vxd. Původní
registr je přitom uložený v HKLMSoftwareSilver Rat. Proč je vytvářen? Protože
po aktivaci souboru silver.vxd spouští Silver i původní aplikaci, aby zakryl
svou přítomnost v systému.
Tato metoda je velmi nebezpečná alespoň pro uživatele počítače. V případě, že
je Silver odstraněn ze systému, Windows nejsou schopné spustit soubory s
příponami, které měl tento virus "ošetřen". Výsledkem je, že operační systém je
částečně nefunkční. Další zákeřnost tohoto škodlivého kódu spočívá ve
skutečnosti, že vyhledává i záložní kopie těchto registrů a důkladně je ničí
jejich počátek (prvních 5 kilobajtů dat) přepíše nesmyslnými daty a pak celé
soubory smaže. Jmenovitě se jedná o soubory user.da0 a system.da0 v adresáři
Windows a v rootu disku c: system.1st.
Autor Silveru měl v úmyslu ještě infikovat soubory s příponou vbs, avšak díky
chybě v programovém kódu zůstalo jen u úmyslu. Ale i tak toho jeho výtvor umí
celkem dost.
0 2149 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.