Škodí, protože je vadný

Vhodnou "živnou půdou" pro počítačové viry byly donedávna pouze dva operační systémy: DOS a Windows 95/98 (nepočít...


Vhodnou "živnou půdou" pro počítačové viry byly donedávna pouze dva operační
systémy: DOS a Windows 95/98 (nepočítáme-li několik spíše neúspěšných pokusů o
zhotovení životaschopného viru pro Linux). Ano, bylo tu sice několik virů pro
Windows 95/98 schopných šířit se i v prostředí NT, ale výhradně pro platformu
NT existoval pouze jeden jediný, WNT.RemExp. Nyní se k němu přidal druhý,
WinNT.Infis (dále jen Infis) a další na sebe pravděpodobně nedají dlouho čekat.
Prvním počítačovým virem, který byl napsán výhradně pro operační systém Windows
NT, se stal RemExp (setkat se s ním lze též pod označením Rich,
Remote_Explorer, IE403R.SYS či RICHS). Pod Windows 95 či jiným systémem není
schopen pracovat. Po vstupu do počítače se pokouší získat administrátorská
práva. V okamžiku, kdy se mu to podaří, infikuje soubory s koncovkou exe na
lokálních i vzdálených discích. Pokud přitom uspěje při napadání sdílených
disků, je schopen se šířit na další NT servery a stanice v síti.
Virus infikuje PE (Portable Executable) soubory. V okamžiku, kdy uživatel
infikovaný exe soubor poprvé spustí, virus přebírá kontrolu a nakopíruje se do
adresáře "System32Drivers" pod jménem ie403r.sys. Poté se spustí a následně
vrátí kontrolu "hostitelskému" souboru. Pokud je infikovaný exe soubor spuštěn
v již napadeném počítači (tedy každé druhé a další spuštění), virus vyhledává
svůj kód v systému a nahrazuje jej novější kopií.
Jakmile je infikovaný driver (soubor ie403r.sys) spuštěn, virus zůstává v
systémové paměti jako standardní služba NT, ale "nenavěšuje se" na žádné
systémové funkce. Namísto toho RemExp zůstává ve "spícím" módu, který je
přerušen systémovými hodinami každých deset minut. Se čtyřicetiprocentní
pravděpodobností poté provede infekční rutinu. Ta skenuje všechny lokální a
sdílené disky, hledá exe soubory a zajišťuje jejich napadení.
Při infikování virus komprimuje cílový exe soubor, zapíše se do jeho hlavičky
(resp. ji přepíše) a přidá komprimovaná data na konec souboru. Aby uživatel
nepojal podezření a aby bylo možné spustit takto napadený a zkomprimovaný
soubor, RemExp jej vždy v případě potřeby rozbalí do dočasného souboru, provede
a smaže. Při komprimaci využívá virus podobnou (nikoliv shodnou) metodu jako
GZIP.
RemExp se důsledně vyhýbá infikaci souborů v adresáři Windows, dále v
systémových adresářích a dočasných souborech (temporary), stejně jako nenapadá
obsah složky "C:Program Files". Navíc nejeví žádný zájem o soubory s
koncovkami obj, tmp a dll.
Pouze pro NT 4
Vraťme se ale nyní zpět k novějšímu viru Infis. To je paměťově rezidentní a
parazitický virus, který je schopen pracovat pouze pod NT verze 4. Pro jejich
uživatele máme celkem příznivou zprávu, že nemá žádný úkol a nepoškozuje
pracovní prostředí počítače. Tedy alespoň to jeho autor neměl v úmyslu. Pravda
je však poněkud jiná, neb díky chybě v programovém kódu dochází k tomu, že
Infis některé soubory operačního systému nenávratně poškozuje. Jakmile takto
porušené soubory spustíte, objeví se standardní hláška "is not valid Windows NT
application" (ta ovšem nemusí být bezprostřední indikací přítomnosti viru v
systému).
Infis zůstává v paměti napadeného počítače jako driver. Čeká přitom na
otevírání PE.EXE souborů, na jejichž konec se připisuje. Zájem jeví o všechny
soubory s koncovkou exe (kromě cmd.exe). Virus přitom nezkoumá, zdali se jedná
o "read-only" (pouze ke čtení) soubory, takže nemůže napadnout soubory s takto
nastavenými atributy. Navíc mění při manipulaci datum napadených souborů, což
je další známka infekce.
Virus Infis si "značkuje" napadené soubory v PE hlavičce značka je přitom
založena na atributech "datum" a "čas" souboru. Jakmile infikuje soubor, virus
zvětšuje velikost jeho poslední sekce, zapíše se tam a patřičným způsobem
pozmění hlavičku PE. Výsledkem je, že při spuštění souboru přebírá kontrolu a
ke slovu přichází jeho instalační rutina.
Infis "vypouští" 4 608 bajtů dlouhý pe.exe soubor se jménem inf.sys a zapisuje
se do adresáře SystemRootsystem32drivers. Poté přidává příkaz "run-it" do
systémového registru, přičemž za tímto účelem vytváří registrační klíč:
RegistryMachineSystemCurrentControlSetServicesinf.
Výsledkem těchto operací je skutečnost, že je virus nahrán do počítače při
příštím restartu.
A nakonec ještě zodpovězení otázky nejzajímavější: Jakou máte šanci se s výše
popsanými viry setkat? RemExp před časem napadl kolem pěti desítek serverů ve
Spojených státech, jinde zaznamenán nebyl. Ani Infis nepředstavuje příliš velké
nebezpečí. Důležitost obou virů je v něčem jiném: Ukazují cestu, kam se tito
"záškodníci" mohou a pravděpodobně i budou v nejbližší době ubírat.
0 0316 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.