Viry se učí telefonovat

Poměrně značnou pozornost sdělovacích prostředků poutaly počátkem letošního roku útoky na některé významné int...


Poměrně značnou pozornost sdělovacích prostředků poutaly počátkem letošního
roku útoky na některé významné internetové servery. Šlo o to (zjednodušeně
řečeno), že speciální programy vysílaly k těmto serverům velké množství žádostí
o přístup, čímž překročily jejich kapacity a de facto je shodily.
A teď si představte podobnou situaci, jen místo webových serverů dosaďte
telefonní linky. Představte si, že by vám někdo v jednom kuse volal. Kdykoliv
položíte sluchátko, rozezvučí se zvonek. Pravděpodobně vám po chvíli dojde
trpělivost a sluchátko vyvěsíte. Horší je to ovšem v případě, kdy se cílem
podobného útoku stane například záchranná služba. Operátoři si těžko mohou
dovolit vyvěsit sluchátko, zvláště v případě, kdy za každým dalším zavoláním
může být někdo, kdo pomoc skutečně potřebuje. Utopie? Omyl, něco podobného
dělal počítačový virus Firkin počátkem letošního dubna.
Alternativní názvy pro Firkin jsou 911 (přesně toto telefonní číslo se totiž
pokud máte internetové spojení přes modem pokouší vytáčet) či Chode (tak si
pravděpodobně přál virus nazvat sám jeho autor). V současné době jsou známy
jeho tři varianty, přičemž všechny jsou si velmi podobné a liší se pouze v
detailech.
Stejně jako drtivá většina ostatních škodlivých kódů z poslední doby také
Firkin využívá ke svému šíření Internet. Nešíří se ovšem pomocí elektronické
pošty, ale snaží se šířit po sdílených discích počítačů. Po příchodu do
počítače se snaží generovat náhodné IP adresy od známých providerů v Severní
Americe (ATT Worldnet, BellSouth Net, Level3 Net, America Online, Mindspring,
Earthlink, Air.Internet in Canada a PSInet). Poté se pokouší kontaktovat
počítače, které měly to štěstí, že na ně padla náhodná "volba". Pokud je
"vybraný" počítač se sdíleným diskem c: a navíc není chráněn heslem, Firkin se
okamžitě tento počítač pokouší napadnout.
Napadení počítače
Napadení počítače se děje tak, že do složky "Po spuštění" je umístěn soubor
mstum.pif (Program Information File, tyto soubory jsou využívané ke spouštění
dosových aplikací pod Windows) s odkazem na vlastní tělo červa, které je podle
příslušné varianty v jednom z následujících adresářů:
C:Program FilesFORESKIN
C:Program FilesCHODE
Jakmile se Windows bootují, soubor pif aktivuje hlavní komponentu červa. Cyklus
se poté opakuje Firkin generuje náhodné IP adresy a snaží se šířit do dalších a
dalších počítačů. Velmi snadno se mu to daří pod Windows 95/98, poněkud hůře
pod Windows NT či 2000. Pro šíření po sdílených discích přitom musí být splněna
ještě jedna podmínka: Operační systém je nutné mít ve složce c:windows. Pokud
je ve složce s jiným názvem či na jiném disku, Firkin jej nedokáže najít a
instalovat se do něj.
Mimo výše popsaného šíření má červ další nebezpečné projevy. Pokud jsou
systémové hodiny nastavené na devatenáctého libovolného měsíce, pokouší se
mazat všechny soubory v adresářích c:windows, c:windowssystem,
c:windowscommand a c:. Po této likvidaci se postupně zobrazí dvě dialogová
okna:
"You Have Been Infected By Chode"
"You may now turn this piece of sh@ off!"
Firkin dále mění obsah klíčového souboru c:autoexec.bat, do nějž přidá
instrukci s voláním linky 911 (pokud jste k Internetu připojeni modemem
nainstalovaným na portech COM1 až COM4). K této změně dochází s
pravděpodobností jedna ku pěti.
Firkin se dokázal během krátké doby rozšířit především po Spojených státech. To
bylo dáno tím, že se snažil šířit na IP adresy patřící největším
severoamerickým providerům. Jeho nebezpečí spočívalo ve dvou skutečnostech:
Jednak byl schopen napadat počítače na dálku bez zásahu uživatele (stačilo, aby
majitel nebyl dostatečně opatrný a porušil některá základní bezpečnostní
pravidla) a jednak se pokoušel zahlcovat zbytečnými voláními telefonní linku
911 tedy službu stojící zcela mimo Internet či elektronickou poštu.
0 1858 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.