Valentýn po celý rok

Další z nekonečné řady e-mailových červů antivirové programy detekují jako kód Yaha nebo Lentin. To je hovorově zk...


Další z nekonečné řady e-mailových červů antivirové programy detekují jako kód
Yaha nebo Lentin. To je hovorově zkrácená verze jména Valentin (česky Valentýn)
a jak už název napovídá, tímto škodlivým kódem byl svět obdařen při
příležitosti svátku zamilovaných. Zajímavostí však je, že se tento červ v
různých mutacích udržel na scéně dodnes.
Samotný Lentin je soubor typu PE EXE (Portable Executable) o velikosti cca 21
kilobajtů, který je komprimovaný pomocí utility UPX (v nekomprimované podobě má
velikost 72 kilobajtů). Neznámý dobrodinec jej napsal v MS Visual C++.
Infikovaná zpráva má připojený soubor valentin.scr a předmět: Melt the Heart of
your Valentine with this beautiful Screen saver (někdy před něj červ vkládá
"Fwd:" snaží se tak tvářit jako přeposlaný e-mail). Vlastní text e-mailu je
poměrně dlouhý ("aby to vypadalo dobře a důvěryhodně").

Instalace do PC
Po poklikání na připojený soubor se do adresáře Odpadkového koše (c:recycled)
nakopírují dva soubory, přičemž každý z nich obsahuje kopii Lentinu: msmdm.exe
a msscra.exe. Následně jsou oba zapsány do registrů v sekci "auto-run". Aby
červ zamaskoval svůj příchod do počítače a následnou existenci, zobrazuje
grafické efekty: na pracovní ploše přelétá text Ur My Valentine a objevují se i
další vizuální kouzla. V některých případech Lentin zobrazuje hlášení o chybě
(která ovšem ve skutečnosti nenastala je to jen další pokus o zvýšení
důvěryhodnosti):
Config
No Configuration is availabile Now
Enjoy!!!
Pro své šíření červ využívá přímé spojení na SMTP server. E-mailové adresy
svých budoucích obětí získává z WAB (Windows Address Book), dále ze složek MSN
a .Net a htm(l) souborů uložených v počítači. Všechny takto nalezené e-mailové
kontakty jsou ukládané do dvou souborů v adresáři Windows: screenback.dll a
www.dll.

Nové verze
Jak už název napovídá, škodlivý kód (Va)Lentin se poprvé objevil při
příležitosti svátku Sv. Valentýna. Obratně tedy využíval sociálního inženýrství
lidé v dotyčné době samozřejmě očekávali různá přáníčka, gratulace a hlouposti
poslané e-mailem. Takže jeden soubor, který se tvářil jako spořič obrazovky, je
většinou nevyvedl z míry. Na rozdíl od jiných škodlivých kódů, které jsou
napsané k určité příležitosti (např. vánoční či reagující na nějakou významnou
společenskou událost) se ovšem Lentin z počítačů nevytratil a postupem času
začaly přicházet další a další verze.
Z nich za zmínku stojí varianta Lentin.G. V tomto případě má červ velikost 27
kilobajtů. S sebou si světem vláčí stovky variant textů, z nichž je náhodnou
kombinací schopen poskládat miliony podob e-mailové zprávy. Oproti původní
verzi je největším rozdílem využívání jednoho bezpečnostního nedostatku
Internet Exploreru (tzv. IFRAM trik), který umožňuje spouštět soubory z přílohy
e-mailu samovolně bez vědomí uživatele v okamžiku, kdy je zpráva prohlížena
(např. i pomocí funkce Náhled Preview).
Lentin.G modifikuje záznamy v registrech tak, aby při volání jakéhokoliv
souboru s příponou exe byla nejprve spuštěna jeho kopie umístěná v Odpadkovém
koši. Je také schopen se šířit po nezabezpečené lokální síti. Pokud má
infikovaný počítač práva pro čtení i zápis na ostatních strojích, pokouší se
Lentin vyhledávat adresáře s následujícími jmény: winxp, winme, win, winnt,
win95, win98 a windows. Uspěje-li, kopíruje do těchto složek sám sebe pod
názvem mstaskmon.exe a pokouší se modifikovat win.ini soubor. Ten ale existuje
pouze pod Windows 95/98/ME, nikoliv pod systémy typu NT. Aby se ochránil před
možností odhalení, pokouší se ukončovat běžící procesy některých antivirových a
bezpečnostních programů a pokud už sedí v paměti, brání jejich zavedení.
Mimo zobrazování grafických efektů ihned po spuštění souboru s příponou scr
(viz výše stejné efekty jako v případě první verze) se Lentin.G projevuje už
jen vytvořením textového souboru s náhodným jménem v adresáři Windows a s
následujícím obsahem:
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
iNDian sNakes pResents yAha.E
iNDian hACkers,Vxers c0me & w0Rk wITh uS & f*Ck tHE GFORCE-pAK sh*tes
bY
sNAkeeYes,c0Bra
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
Podle existence takového souboru tedy můžete usoudit na napadení svého
počítače.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.