Virus jménem AntiSocial

Svět počítačových virů je jedna velká bitva mezi jejich autory na jedné straně a antivirovými firmami, které se sna...


Svět počítačových virů je jedna velká bitva mezi jejich autory na jedné straně
a antivirovými firmami, které se snaží jejich následky eliminovat nebo alespoň
silně omezit, na straně druhé. Ani jedna strana přitom "neusíná na vavřínech".
Autoři virů se snaží vymýšlet stále nové a nové triky, aby byly jejich výtvory
více "životaschopné".
Vzhledem k tomu, že studnice nápadů na poli nových virů je sice hluboká, ale
nikoliv bezedná, zkoušejí jejich autoři něco, co bychom při troše fantazie
mohli nazvat "starým trikem v novém prostředí". Již v případě prvních
počítačových virů objevivších se pod DOSem byla snaha využít velmi mocnou a
silnou zbraň ke snížení jejich detekovatelnosti šifrování. Kódovaný virus je
totiž mnohem těžší odhalit a odstranit, a tak není divu, že se po několika
letech úspěšné nadvlády makrovirů začínají i tyto ubírat stejnou cestou.
Takovým případem je i počítačový virus AntiSocial (plným názvem
W97M/AntiSocial), který je prvním šifrovaným "záškodníkem" napsaným v jazyce
VBA.
Proč autoři virů používají šifrování? Na první pohled by se mohlo zdát, že
takto lze poměrně spolehlivě uchránit viry před detekcí antivirovými programy.
Ovšem každá šifra potřebuje pro své "přečtení" nějaký dešifrátor, jinak je
zakódovaný text zcela bezcenný. A stačí tuto "dešifrovací rutinu" s jejím
přesným umístěním zadat do antivirové databáze, a každý průměrný skenovací
program si potom s takovýmto virem poradí.
Poněkud pokročilejší metodou je tzv. oligomorfismus. V tomto případě má
programový kód viru nadefinováno několik různých způsobů šifrování. Využitá
metoda je pak uložena do příslušného "slotu", takže virus vždy ví, který "klíč"
má použít ke svému rozbalení. Ani v tomto případě není těžké najít virus, ovšem
antivirový program už musí mít nadefinované všechny dešifrovací smyčky. Pro
autory počítačových virů je tato cesta slepou uličkou, neboť neúměrně zvětšuje
nároky na tvorbu virů a neúnosně zvětšuje jejich velikost.
V současnosti nejdokonalejším je polymorfní šifrování. V praxi to znamená, že
polymorfní virus vytváří během svého replikování kopie, které se vzájemně liší.
Jinými slovy u dobře napsaných virů se může stát, že nemají na světě dva
totožné exempláře každý je v podstatě unikátem. Pro odstranění těchto nezvaných
hostů z počítače je zapotřebí použít mnohem pokročilejších technik detekce a ne
každý antivirový produkt se s nimi úspěšně vypořádá. A právě této silné
"zbraně" AntiSocial využívá.
Útroby viru
AntiSocial je nastavený tak, že v okamžiku spuštění infikovaného dokumentu
automaticky vypíná antivirovou ochranu Wordu. Makro je vázáno na funkci
Dokument/Otevřít, přičemž okamžitě po otevření a vypnutí antivirové ochrany
dochází k jeho rozšifrování. Přestože tato operace probíhá poměrně rychle, jsou
i na rychlejších počítačích znatelné prodlevy (jeden z možných příznaků
přítomnosti viru v systému).
Tělo viru W97M/AntiSocial obsahuje následující text: Antisocial Encrypts Each
Lina Of Coda With A Diffarant String Each Tina Tha Virus Is Exacutad. [...]
V současnosti je známo celkem šest variant viru AntiSocial (označovaných A až
F). Největší rozdíl mezi nimi je pozorovatelný v okamžiku, kdy je kód plně
dešifrovaný. Zatímco varianty A až D trpělivě čekají, až přijde řada na
vykonání makra vázaného na funkci Dokument/Zavřít, varianty E a F okamžitě po
rozšifrování volají makra Sixtieth~Skeptic a ViewVBCode. Tyto se poté chovají
jako klasický virus.
Na viru AntiSocial je zajímavé, že po rozšifrování a vykonání infekční rutiny
dochází k automatickému odstranění těla viru z napadeného dokumentu. Tuto
operaci ovšem neprovádí nikterak citlivě, takže spolu s vlastními makry
odstraňuje také uživatelská makra. A jak virus zajistí svou přítomnost v
počítači, když za sebou takto pečlivě "uklízí"? Celkem jednoduše. Vytváří si
soubor c:ss.vbs, který je použit k napadení šablony normat.dot při každém
restartu či po přihlášení nového uživatele.
Různé varianty makroviru AntiSocial se také projevují různě. Zatímco verze C, D
a F kromě replikace nevykonávají nic jiného, "áčko" se projevuje tak, že pokud
je dokument infikovaný v okamžiku, kdy jsou hodiny počítače nastavené na 59.
minutu, nahradí všechen text v aktivním dokumentu textem "Antisocial..."
Nejzajímavější je varianta označovaná písmenem E, neb vykonává podobnou činnost
jako dnes již legendární Melissa.
9 3321 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.