Škodlivý kód s devíti tvářemi

Celkem devět různých tváří má nový e-mailový červ 3D-Stars. Přesně tolik trojic předmětů, textů zpráv elektro...


Celkem devět různých tváří má nový e-mailový červ 3D-Stars. Přesně tolik trojic
předmětů, textů zpráv elektronické pošty a názvů příloh totiž vláčí s sebou po
světě. Zatímco jeho podoba se mění, nebezpečný náklad zůstává. A hrozí velkými
škodami.
3D-Stars se šíří jako exe příloha u zpráv elektronické pošty. Jinak jde o Win32
soubor o velikosti 70 kilobajtů, který neznámý programátor vytvořil ve Visual
Basicu. Naštěstí pro většinu uživatelů počítačů ale zřejmě nebyl v tomto oboru
příliš zručný, a tak červ obsahuje větší než obvyklé množství chyb. V mnoha
případech tedy nepracuje zcela korektně: K odchozí poště není připojen
infikovaný soubor, předmět a text zprávy "nesedí" s názvem přílohy apod.
K šíření z infikovaného počítače 3D-Stars využívá MS Outlook, přičemž získává
adresy z Windows Address Book a na ně rozesílá (vzhledem k výše uvedeným chybám
je ovšem lepší formulace "pokouší se rozesílat") své kopie. Po vykonání této
šířící rutiny pošle ještě jednu zprávu na vb.master@angelfire.com pravděpodobně
informace autorovi škodlivého kódu, že se mu podařilo "ulovit" další oběť.
Jakmile je 3D-Stars spuštěn z exe přílohy u e-mailové zprávy, nakopíruje se do
složky Windows a do systémového adresáře pod jmény SysTray.exe a SysCheck.
exe. Dále se zapíše do registrů:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemTray =
%Adresář Windows%SysTray.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemCheck =
%Systémový adresář Windows%SysCheck.exe
(Poznámka: Původní systray.exe je umístěný v systémovém adresáři Windows,
nikoliv přímo ve složce Windows.)
Protože se pokouší zamaskovat svou přítomnost v počítači, zobrazuje exe
aplikace při svém spuštění též dialogové okno:
Microsoft Windows
The application %Jmeno% caused a general protection fault in module Kernel.exe,
and it will be terminated. Press OK to continue
[ OK ]
(Kde %Jmeno% je název souboru, z něhož byl červ 3D-Stars spuštěn.)
Aktivace viru
Vždy, když jsou systémové hodiny počítače nastaveny na čtvrtý den kteréhokoliv
měsíce a dojde k aktivaci 3D-Stars před pátou hodinou ráno, dochází k přepsání
souboru c:autoexec.bat příkazy, které při příštím (re)startu operačního
systému smažou všechny soubory ve složce c:My Documents (naštěstí je tato
cesta pevně dána, takže pod českým Windows se složkou Dokumenty nebezpečí
nehrozí). Dále zlikviduje všechny dll knihovny v podadresářích Windows i v něm
samotném to už je reálné nebezpečí také pro uživatele českých verzí tohoto
operačního systému. A zatímco příkazy v souboru autoexec.bat vykonávají svou
zkázonosnou činnost, je zobrazeno hlášení:
Please wait while setup update files. This may take a few minutes. Now loading
Windows.
3D-Stars obsahuje také komponentu umožňující "otevření" infikovaného počítače
pro vzdálenou správu hackery. Tato zadní dvířka (backdoor) umožňují zjišťovat
informace o pevných discích v systému, dále číst, psát, mazat a kopírovat
soubory, přejmenovávat, vytvářet a odstraňovat adresáře, číst a psát klíče v
registrech, poslat e-mail na stanovenou adresu, spouštět soubory či "přinutit"
Windows k ukončení činnosti.
Programový kód červa obsahuje také text "3Dstars server", z něhož vzniklo
pojmenování této nepřátelské aplikace.
1 0722 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.