Virus, který vás obejde

Po beznadějně největší epidemii počítačového viru v historii, kterou způsobil 4. května 2000 škodlivý kód Ilovey...


Po beznadějně největší epidemii počítačového viru v historii, kterou způsobil
4. května 2000 škodlivý kód Iloveyou, se v listopadu a v prosinci téhož roku
vydal do světa další "zamilovaný" virus. Jeho jméno je Verona nebo
Romeo&Juliet, ovšem např. antivirový program AVP jej detekuje jako virus Blebla
(podle kusu textu obsaženého v jeho těle).

Verona se poprvé objevila 16. listopadu 2000 v Polsku. Jedná se o další z řady
e-mailových červů šířících se Internetem. Ovšem na rozdíl od jiných více či
méně podařených klonů má několik zcela unikátních vlastností. Na první pohled
vypadá jako e-mailová zpráva v HTML formátu, k níž jsou připojené soubory
MyJuliet.chm a MyRomeo.exe. Ke spuštění škodlivého kódu dojde tak, že je
spuštěn exe soubor jednak to může provést uživatel a jednak je možné, že k této
operaci dojde zcela automaticky. Zpráva HTML totiž obsahuje skript, který je
operačním systémem Windows aktivovaný okamžitě po otevření zprávy (resp. po
spuštění náhledu pomocí funkce Preview). Tento skript nahraje a vzápětí
aktivuje soubor MyJuliet.chm. Přípona chm značí, že jde o Compressed HTML
stránku, která je vykonána jako HTML soubor nápovědy. Přitom obsahuje další
skriptovací program, který dokáže spustit soubor MyRomeo.exe tedy vlastní
škodlivý kód. Poněkud těžkopádné, leč funkční.

Jeden speciální trik
Verona přitom používá speciální trik. Ten umožňuje přístup k jednotlivým
komponentům pomocí speciální identifikace. Červ popíše soubory připojené k
e-mailové zprávě již v její hlavičce pomocí speciálních identifikačních znaků a
přístup k nim získává pomocí těchto identifikátorů.
Z výše uvedeného vyplývá, že Verona využívá "díry" ve skriptovací bezpečnosti
Windows: Komponenta chm je schopna spustit "klasický" exe program skriptováním
objektu, který je vedený jako "bezpečný pro skriptování" (safe for scripting).
Výsledkem je, že nedochází ke spouštění žádných varovných dialogových oken,
jakmile se červ pokouší vykonat své jednotlivé komponenty (platí pro standardní
nastavení Windows).

Pohled dovnitř
Hlavní součástí červa (MyRomeo.exe) je Windows PE (Portable Executable) soubor
dlouhý 30 kilobajtů. Přitom je komprimovaný utilitou UPX v "rozbalené" podobě
má dvojnásobnou velikost (samotný kód viru ovšem zabírá jen asi desetinu z
tohoto množství, zbytek jsou data a zbytečný balast). Jakmile je MyRomeo.exe
vykonán, otevírá si Windows Address Book, odkud získává kontakty a na ně
rozesílá HTML zprávy s připojenými soubory chm a exe. Ano, tušíte správně:
Prostě se snaží šířit na tyto adresy. K rozesílání infikovaných zpráv se červ
snaží spojit s jedním ze šesti špatně chráněných SMTP serverů lokalizovaných v
Polsku.
Zpráva vygenerovaná červem Verona má Předmět náhodně vybraný mj. z
následujících možností: Romeo&Juliet, hello world, subject, ble bla, I Love
You;), sorry..., Hey you!, Matrix, has you..., my picture, from shake-beer.
Červ má přitom chybku (jev u počítačových virů velmi častý), takže nefunguje
zcela korektně pod některými anglickými verzemi Windows 98/NT. Navíc je
provozuschopný pouze v případě, že máte operační systém nainstalovaný v
adresáři c:windows (na ten je pevně daná cesta v jeho těle).

Další modifikace
Po první verzi se svět (zatím) dočkal ještě modifikace Verona.B. Ta vznikla
několika drobnými úpravami původního červa. Po spuštění exe komponenty sám sebe
nakopíroval do systému jako c:windowssysrnj.exe a vzápětí zasahoval do
registrů. Nejprve v nich vytvořil klíč, který zajistil spuštění červa, kdykoliv
je žádaný soubor rnjfile. Další modifikace způsobila, že při pokusu o otevření
souborů s 22 různými příponami je volaný právě soubor rnjfile (jedná se o
asociaci např. s příponami exe, jpg, jpeg, bmp, arj, avi, mpg, mpeg, mp3, mp2,
doc, xls, zip, rar, lha).
Dále z infikovaného počítače odesílá na alt.comp.virus zprávu s následujícím
vzkazem:
Od: "Romeo&Juliet" <romeo@juliet. v>
Předmět:[Romeo&Juliet] R.i.P.
Poslední odlišnosti verze "B" od "áčka" je několik spíše kosmetických úprav v
seznamu, z něhož je vybírán předmět infikované zprávy (mj. je seznam rozšířen o
možnost prázdného či náhodně vygenerovaného předmětu).
1 0002 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.