Voják z války virů

Také pod jménem Moodown detekují některé antivirové firmy škodlivý kód, který ovšem do historie vstoupil pod názve...


Také pod jménem Moodown detekují některé antivirové firmy škodlivý kód, který
ovšem do historie vstoupil pod názvem NetSky. V prvním čtvrtletí letošního roku
se objevil v celkem čtrnácti různých verzích, a to mimo jiné proto, že se
zapojil do takzvané války virů.
Při tomto souboji se během jednoho týdne objevily desítky verzí kódů NetSky,
MyDoom a Bagle, jejichž tvůrci se navzájem častovali nadávkami značně
obhroublého charakteru. První verze kódu NetSky ovšem jinak nebyla téměř ničím
zajímavá (snad kromě raketového nástupu, který byl daný velkým množstvím míst,
z nichž se v jednom okamžiku začaly infikované e-maily šířit), svým způsobem
šlo o řadového červa.
Za zmínku ale rozhodně stojí varianta NetSky.D. Nejenže se projevovala poněkud
prehistorickým způsobem (ve stanovený den mezi 6:00 a 8:59 místního času červ
pípal pomocí PC Speakeru a to melodii, kterou si lze stáhnout například na
www.f-secure.com/virusinfo/v-pics/netsky_d.wav), ale výše zmíněnou válku virů
vzala opravdu vážně. (Mimochodem, tuto "akustickou" rutinu obsahovalo i několik
další variant.)
Pokud v systému, který NetSky.D napadl, nalezl instalovaného některého červa z
rodiny MyDoom, bez milosti jej smazal. To mohla být na první pohled pro
uživatele milá vlastnost, ve skutečnosti ale docházelo pouze k nahrazení červa
červem.
Do některých dalších verzí NetSky (například G) pak autoři přidali další
deinstalační rutinu, tentokrát směřovanou proti e-mailovému červu Bagle. A také
různé vzkazy tvůrcům tohoto i dalších škodlivých kódů například ve verzi C (...
you cant hide yourself! we kill malware writers (they have no chance!)
[LaMeRz->]MyDoom.F is a thief of our idea!...) nebo F (... Bagle you are a
looser!!!!...).

Uvnitř červa
Z technického hlediska není NetSky ničím novým. Ke svému šíření využívá
e-mailové adresy vyextrahované ze souborů s příslušnými příponami z lokálních
disků na počítačích, ukládá svoji kopii na pevný disk, zapisuje se do registru,
šíří se pomocí elektronické pošty (v některých případech v zazipovaných
archivech) apod.
Výjimkou byla varianta NetSky.I, která nepoužívala k šíření e-mail, ale
rozesílala pouze odkaz na soubor index.scr, který autor či autoři kódu umístili
na server Yahoo.com. Krátce po objevení této vazby byl infikovaný soubor
odstraněn, takže tato verze červa zašla na úbytě.

Sociální inženýrství
Některé varianty červa NetSky mají schopnost šířit se i v lokální síti
prohledávají všechny dostupné disky, a najdou-li nějaký s adresářem "Share"
nebo "Shared" a s právem zápisu, ihned se do něj nakopírují pod nějakým
atraktivním názvem (vida, opět sociální inženýrství!) třeba
dolly_buster.jpg.pif, strippoker.exe či hardcore porn.jpg.exe, u kterých je
předpoklad, že upoutají pozornost ostatních uživatelů.
Toto ale nebyl jediný způsob použití sociálního inženýrství v epidemii NetSky.
Červ dále "vhodně" volil názvy infikovaných příloh, text e-mailové zprávy a v
některých případech do něj přidával i fiktivní zprávu antivirových firem "tato
zpráva neobsahuje virus zkontrolováno programem tím a tím". Toto hlášení se
samozřejmě nezakládalo na pravdě a celý případ jen ukazuje na jeho zbytečnost
(bez dalších doplňujících funkcí, jakou je třeba elektronický podpis) v praxi
pro jakoukoliv smysluplnou ochranu.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.