Totilix: Vyberte si, čí počítač napadnete!

Počítačové viry se objevují jako houby po dešti. Odhady o jejich skutečných počtech se různí, faktem ale zůstává...


Počítačové viry se objevují jako houby po dešti. Odhady o jejich skutečných
počtech se různí, faktem ale zůstává, že každý měsíc se několik set nových
objeví. Většinou se jedná o škodlivé kódy, které vůbec nestojí za řeč. Jiné
zase naopak vynikají použitím nových technologií, další novým nápadem. A právě
do druhé jmenované kategorie patří škodlivý kód Totilix. Na rozdíl od jiných
počítačových virů a jim podobných "potvůrek" totiž Totilix uživateli napadeného
počítače nabízí, aby si sám vybral, které další "nešťastníky" se pokusí
napadnout. Vtip je samozřejmě v tom, že uživatel vůbec netuší, že svým konáním
pomáhá šířit počítačový virus. Ale hezky po pořádku.

Oč jde
Totilix je velmi nebezpečný internetový červ, který se šíří v e-mailových
zprávách. Navíc může za určitých okolností přepsat všechny exe soubory v
adresáři Windows svou kopií. Tedy, ne úplně všechny nedotčené ponechává pouze
původní soubory emm386.exe a setver.exe, navíc nemá moc nad exe soubory, které
jsou aktuálně spuštěné, a tudíž uzamčené k zápisu.
Při napadení počítače se Totilix zaregistruje do Windows, aby si zajistil
aktivaci při každém (re)startu tohoto operačního systému:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun RunAVUpdate = avupdate.exe
Položka avupdate.exe přitom není pevně daná, ale její název závisí také na
případném přejmenování tohoto škodlivého kódu uživatelem. Jinými slovy pokud se
někdo rozhodne změnit jeho název, Totilix nové jméno přijme za vlastní a
používá je i v dalších postupně napadaných počítačích. A to až do okamžiku, kdy
se jej někdo opět rozhodne překřtít.

Výběr adresátů
Na rozdíl od drtivé většiny ostatních virů využívajících ke svému šíření
elektronickou poštu, nevyužívá Totilix kontakty z adresáře MS Outlook nebo z
jakéhokoliv jiného seznamu kontaktů, který využije bez vědomí uživatele.
Zobrazuje totiž dialogové okno a vyzve uživatele u napadeného počítače, aby sám
vybral e-mailovou adresu (resp. adresy) oběti (obětí), kterým svou kopii
rozešle. Dialogové okno má následující podobu:
AV Intelligent Updater Please select email address to send at your friend
Select email address with a only not with A[OK]
Snaží se tak tvářit jako "inteligentní update" antivirového programu a vyzývá
uživatele, aby tento update poslal dále. Spoléhá na lidskou neznalost,
nevědomost a důvěřivost. Každý antivirový program má totiž jinou strukturu
databáze virových řetězců a skenovacího motoru. Tyto tzv. aktualizace jsou
navzájem nekompatibilní (nehledě na to, že mnohdy i různé verze antivirových
programů od jednoho výrobce nejsou schopné využívat stejné databáze, ale
vyžadují svůj vlastní formát informací). Navíc tento způsob "distribuce"
aktualizací (pošli komu pošli, nezáleží na tom, jaký má antivirový program ani
kdy si naposledy aktualizoval) tak trochu evokuje řetězové dopisy.
Totilix následně aktivuje e-mailového klienta použitím MAPI funkce (což
znamená, že úspěch či neúspěch celé akce není odkázán na typ použitého klienta
a jeho verzi), aktivuje adresář a trpělivě počká, až uživatel sám vybere adresu
(resp. adresy) dalších obětí. Jakmile je výběr dokončen, do světa se vydává
zpráva s následujícími parametry:
Předmět: Virus Alert Update: New VBS.LoveLetter Threat
Text: Hi Friend,
This mail contains a new AV intelligent updater for all antivirus.
To install it, execute the attachment file if you have any problem, send mail
at antivirus@hotmail.com
Příloha: avupdate.exe
V případě, že dojde k chybě při výběru adres nebo při posílání infikovaných
e-mailových zpráv, Totilix smaže všechny soubory v adresáři Windows a zobrazí
jedno ze sedmi předpřipravených "chybových" hlášení. Pokud se akci podaří
úspěšně provést, je zobrazeno následující dialogové okno:
AV Intelligent Updater Internal error occured when you have launch this program
Contact antivirus@hotmail.com or others AV

Projevy viru
Nejdrastičtěji se Totilix projevuje, pokud je třináctého kteréhokoliv měsíce
(nebo alespoň pokud toto datum máte nastaveno v počítači) a sekundový ukazatel
nabývá hodnoty 30. V tom okamžiku jsou vymazány všechny soubory z adresáře
Windows a zobrazen následující vzkaz.
Virus Win32.AVUpdate
Attention, votre PC est en danger!!!!!
Car ceci est ma veritable identite
Veuillez contacter votre centre AV le plus proche
Podobné projevy (vymazání složky Windows a zobrazení dialogového okna ovšem
pokaždé s jiným textem) může uživatel zaznamenat také 2. února, 9. května, 5.
dubna a 24. září.
0 3325 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.