Virus, který se aktualizuje

Počítačový virus, červ, trojský kůň pokud chcete vlastnit tuto "trojkombinaci", stačí někde "získat" nejnovější...


Počítačový virus, červ, trojský kůň pokud chcete vlastnit tuto "trojkombinaci",
stačí někde "získat" nejnovější počítačový virus Babylonia. Málokterý virus v
současné době přináší "něco nového" něco, co tu ještě nebylo. Programátor (či
programátoři) Babylonie ovšem vymysleli novinku, která zde ještě opravdu nebyla
virus si z Internetu stahuje "aktualizační" soubory, čímž sám sebe upgraduje i
updatuje.
Babylonia je rezidentní parazitický virus, který má vlastnosti "červa" (šíří se
jako příloha e-mailových zpráv, přičemž uživatel ji musí spustit, aby si virus
nainstaloval do systému) i "trojského koně" (program, který vykonává jinou
činnost, než od něj uživatel očekával). Napadá jen Windows 95/98 (především PE
soubory) a také soubory nápovědy HLP. Mimo to posílá své kopie po Internetu.
Babylonia přitom využívá několika vlastností použitých již na jiných virech:
síťové šíření (Happy99), napadání helpů (Demo), instalaci do paměti (CIH).
Napadení počítače
Jakmile je spuštěn infikovaný EXE soubor, virus se instaluje rezidentně do
paměti Windows. Poté vykoná svou "trojskou" rutinu a vrátí kontrolu
hostitelskému programu. Do paměti se Babylonia instaluje jako VxD driver,
přičemž se "navěsí" na IFS API (funkce přístupu k diskovým souborům).
Virus také vytváří 4 kilobajty dlouhý pe.exe soubor v rootu disku C: s názvem
babylonia.exe. To je součást viru, která je vykonávána jako samostatná
komponenta není vázána na další části viru. Samotný virus ji nikdy nenapadne,
neboť je nastaven k infikaci souborů delších než 8 kilobajtů. Navíc má tento
"trójan" ještě jednu zvláštnost je funkčnější, než vlastní virus, který
obsahuje řadu chyb.
Jakmile je soubor babylonia.exe vykonán, nakopíruje do adresáře WINDOWS soubor
kernel32.exe a zapisuje se do systémového registru:
HKLMSoftwareMicrosoftCurrent VersionRun.
Trojský kůň se poté prostřednictvím Internetu snaží kontaktovat hackerskou
webovou stránku v Japonsku a odtud získává textový dokument virus.txt. Ten
obsahuje seznam několika souborů Babylonia jej prochází položku po položce,
stahuje si je a vzápětí i vykonává. Virus se tak může aktualizovat!!! Tato
funkce navíc umožňuje autorovi viru dělat s počítačem cokoliv se mu zlíbí,
neboť do seznamu virus.txt lze vložit příkaz ke stažení vlastního záškodnického
programu a poté například monitorovat hesla uživatele či jakkoliv jinak
porušovat jeho soukromí.
Krátce po vypuštění viru Babylonia byly k dispozici celkem čtyři "plug-iny"
tohoto viru, ovšem krátce poté byla výše zmíněná stránka zrušena.
Ale od aktualizací zpět k samotnému viru. Při instalaci paměťového rezidenta
skenuje systémové drivery, přičemž hledá soubory AVP9* a SPID* (tedy antivirové
monitory) a modifikuje je tak, že nejsou schopny otevírat soubory pro virová
skenování. V praxi to ale docela pravda není, neboť v případě antiviru AVP
Monitor má virus chybku, a není proto schopen se do něj "nabourat".
Samotný virus se "navěšuje" na trojici funkcí: čtení/modifikování atributů
souboru, otevírání a přejmenování souboru. Kdykoliv je kterákoliv z nich
volaná, kontrolu přebírá infekční rutina.
Babylonia se připisuje na konec pe.exe souborů, někdy se jí ovšem podaří
"vmáčnout" se do souboru tak, že se jeho velikost na první pohled nezmění.
Při infikování knihovny wsock32.dll virus přebírá kontrolu nad funkcí "Odeslat"
(Send) tak, že ji modifikuje. Tato modifikace aktivuje paměťově rezidentní část
viru, kdykoliv dochází k posílání e-mailových zpráv. K odesílané zprávě přitom
virus vždy připojuje přílohu sám sebe. V případě, že e-mail již nějakou přílohu
obsahuje, virus postupuje stejně. To představuje nebezpečí, neboť příjemce
zprávy čekající nějaký dokument zpravidla nepojme žádné podezření.
Soubor připojený k e-mailu má jméno x-mas.exe. Autor Babylonie přitom chtěl
prostřídat (v závislosti na tom, který měsíc právě je) šest různých jmen. Vinou
chyby ale došlo k tomu, že příloha má vždy stejné jméno. Další jména měla být:
i-watch-u, babilonia, surprise!, jesus, buhh a chocolate.
0 0074 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.