Také rockoví fanoušci tvoří viry

Win32.FunLove (dále jen FunLove) je oficiální název počítačového viru, který vám představíme dnes. Jedná se o pom...


Win32.FunLove (dále jen FunLove) je oficiální název počítačového viru, který
vám představíme dnes. Jedná se o poměrně dobře napsaný virus, který představuje
jistou hrozbu. Antivirové firmy v souvislosti s ním zaznamenaly zvýšené hlášení
výskytu "In the Wild" (tedy mezi běžnými uživateli).
Virus FunLove naštěstí není destruktivní, je však poměrně obtížné odstranit jej
z napadeného systému. Podle základní charakteristiky je to paměťově parazitický
Win32 virus, který pro svůj "život" nevyužívá ani šifrování, ani polymorfní
triky. Napadá PE.EXE (Portable Executable) soubory na lokálních a síťových
discích. Řečeno jinými slovy díky této schopnosti virus dokáže napadnout celou
(např. vnitropodnikovou) síť při zavirování jediného počítače pokud má uživatel
právo k zápisu.
Především pod Windows NT virus získá zapisovací právo poměrně snadno, a to díky
rutině převzaté z viru Bolzano. Tato funkce modifikuje soubory ntoskrnl.exe a
ntldr. Díky tomu získává administrátorská práva k systémovým souborům nejen
virus, ale také jakýkoliv uživatel. Toto je další nebezpečný projev viru mimo
vlastní záškodnické činnosti může mnohem větší škodu natropit neopatrný,
neznalý nebo prostě jen zvědavý uživatel, který v systému jinak nemá vůbec co
pohledávat.
Soubor infikovaný virem FunLove je snadné rozeznat podle textového řetězce,
který obsahuje tělo viru: ~Fun Loving Criminal~ Jedná se o jméno populární
rockové skupiny. Tento nápis se zobrazí i v případě, že soubor flcss.exe
("mateřský" soubor viru viz níže) spustíte pod DOSem (navíc se FunLove pokusí
zresetovat počítač, aby se vrátil do operačního systému Windows, kde je mu
přece jen lépe).
Napadení počítače
Jakmile uživatel spustí infikovaný soubor, virus vzápětí vytváří soubor
flcss.exe přímo v systémovém adresáři Windows. Do něj samozřejmě vkládá svůj
infekční kód. Tento soubor má formát PE a po spuštění je vykonán jako skrytá (v
případě operačního systému Windows 95/98) nebo servisní aplikace (pod Windows
NT). Bezprostředně po "vypuštění" souboru flcss.exe do systému je z něj
spuštěna infekční rutina.
Autor viru FunLove počítal i s eventualitou, že se z jakéhokoliv důvodu
nepodaří soubor flcss.exe vytvořit. Viru to příliš nevadí a infekční proces v
takovém případě spustí přímo z těla napadeného souboru.
Infekční rutina skenuje všechny pevné disky v počítači od C: do Z:, poté
vyhledává i síťové zdroje. Na nich skenuje všechny podadresáře a napadá soubory
PE, které mají koncovku OCX, SCR či EXE. Tento vyhledávací a infikační proces
běží "na pozadí" jiných aplikací, takže uživatel při činnosti viru nepozoruje
žádné prodlevy, a tudíž nepojímá přímé podezření.
Jakmile FunLove infikuje nějakou "oběť", zapisuje svůj kód až na její samotný
konec, přičemž do hlavičky souboru umístí "odskok" na tento kód. "Odskok"
neprovádí šetrným způsobem, ale drastickým přepsáním prvních osmi bajtů souboru
příslušnou instrukcí.
Virus je opatrný, a aby se vyhnul možnosti konfliktu s antivirovými programy,
nenapadá soubory aler*, amon*, _avp*, avp3*, avpm*, f-pr*, navw*, scan*, smss*,
ddhe*, dpla* a mpla*. Infikuje ovšem Explorer.exe, což znamená zavedení viru do
systému při každém restartu počítače.
Délka napadeného souboru vzrůstá pod Windows 95/98 o 4 099 bajtů. Při napadení
systému Windows NT je ovšem 4 099 bajtů minimální délka, většinou bylo
pozorováno prodloužení větší (při laboratorních testech zpravidla o 7 000
bajtů).
Protože virus infikuje řídicí soubory ActiveX (přípona ocr), existuje zde
možnost napadení počítače přes internetový prohlížeč. Pokud virus napadne
server obsahující webové stránky s vloženým ActiveX kódem a pokud se mu podaří
tento kód napadnout, každý uživatel navštívivší tyto webovské stránky bude
napaden okamžitě po nahrání a vykonání ActiveX. Pokud ActiveX na serveru nejsou
certifikované a pokud má uživatel bezpečnostní úroveň nastavenu jako "nízkou",
nebude vůbec při spuštění ActiveX (a tudíž ani při infekci) varován.
Bude-li ovšem správce takovýchto webovských stránek dostatečně prozíravý k
tomu, aby ActiveX nechal elektronicky podepsat, uživatel bude varován, že
podpis nesouhlasí s obsahem dokumentu. Počítač mu pak nabídne možnost takto
podezřelou aplikaci odmítnout, a tím předejít virové nákaze.
0 0246 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.