Z Wordu do Projectu a zase zpátky

Po několika neúspěšných počítačových virech, které se pokoušely napadat "křížem" nejrůznější aplikace, postu...


Po několika neúspěšných počítačových virech, které se pokoušely napadat
"křížem" nejrůznější aplikace, postupně na svět přišly viry Shiver (první,
který dokázal napadat dokumenty Wordu 97 a Excelu 97) a Tristate (schopen
infikovat Word 97, Excel 97 a PowerPoint 97). A v říjnu loňského roku experti z
finské společnosti Data Fellows oznámili, že detekovali a analyzovali první
virus, který se šíří v aplikaci Microsoft Projectu. Svůj "objev" pojmenovali
P98M/Corner.
Na makroviru P98M/Corner je zajímavá především skutečnost, že je schopen
infikovat dokumenty MS Wordu i MS Projectu a navzájem mezi nimi "cestovat". Ke
svému šíření tak využívá soubory s příponou "doc" i "mpp".
Psaní počítačových virů pro nové aplikace je pro programátory vždy prubířským
kamenem. Proč? Protože píšou-li zákeřné kódy pro méně obvyklé programy, musí
počítat s tím, že jejich "výtvory" nebudou příliš rozšířené. Samozřejmě, že
nejvíce dokumentů (a tudíž i virů) v dnešní době je vytvořeno v textovém
editoru Word, následuje tabulkový editor Excel. Ostatní programy končí hluboko
v poli poražených. Snad právě takto uvažoval i autor viru Corner, který se jej
rozhodl vytvořit nejen pro MS Project.
Makrovirus Corner se skládá z modulu, který obsahuje dvě subrutiny jednu pro
Word, druhou pro Excel. Wordovská je navázaná na funkci Document_Close (Zavřít
dokument), po jejím volání je spuštěna infekční rutina. Jakmile virus přebírá
kontrolu, pokouší se měnit bezpečnostní úroveň Wordu 2000 či Excelu 2000 (což
je zajímavé, neboť dokumenty této aplikace není schopen napadnout!). Toto
nastavení ovšem nedokáže měnit v případě, že máte úroveň zabezpečení nastavenou
na "Vysokou". Je-li ale "Střední" anebo používáte-li Word 97, virus vykoná svou
infekční rutinu. Corner se při ní nakopíruje do všech otevřených dokumentů.
Tento virus navíc při otevírání napadeného dokumentu ve Wordu zkoumá, neběží-li
v systému spuštěná aplikace MS Project. A pokud zjistí, že ano, infikuje ji
(abychom byli přesnější infikuje v ní otevřené dokumenty). Infikace probíhá
tak, že se Corner pokouší o nakažení otevřených dokumentů. Infekční rutina se
přitom podobně jako v předchozím případě aktivuje při zavírání dokumentu.
Corner přitom není rezidentní a neinfikuje globální šablonu.
Projevy viru
Kód viru v sobě obsahuje následující text (snad pro pobavení náhodných
"průzkumníků"):
I never realized the lengths Id have to go
All the darkest corners of a sense
I didnt know
Just for one moment
hearing someone call
Looked beyond the day in hand
Theres nothing there at all
Project98/Word97-2k Closer
Dobrou zprávou pro uživatele počítačů představuje konstatování, že Corner neumí
nic jiného, než se šířit. Vážnou hrozbu představuje především skutečnost, že
ukázal cestu dalším autorům podobných "zpestření" a že se brzy objeví několik
nových virů využívajících podobných technik. Tak tomu ostatně v podobných
případech bývá vždy.
Uvedené předpoklady ostatně potvrzuje i světoznámý "louskač virů" Eugene
Kaspersky: "Makrovirus Corner nepředstavuje skutečné nebezpečí pro uživatele
počítačů. Ale může to být "beta-verze", jejímž vypuštěním do světa chtěl autor
otestovat efektivitu a operativnost. Ovšem to není důležité, neboť beztak lze
očekávat v nejbližší budoucnosti celou škálu nebezpečnějších a
destruktivnějších virů podobných Corneru."
9 3666 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.