Za málo peněz hodně muziky

Stále více škodlivých počítačových kódů využívá pro své potřeby Internet. A to nejenom pro své šíření v p


Stále více škodlivých počítačových kódů využívá pro své potřeby Internet. A to
nejenom pro své šíření v přílohách e-mailových zpráv, ale také pro zcela jiné
účely. V případě e-mailového červa Music Internet slouží k získávání životně
důležitých součástí jeho kódu.Tomáš Přibyl
Music se skládá z celkem tří částí, přičemž jde o škodlivý kód napsaný ve
Visual Basicu. Jde o Windows exe soubor. První část kódu se označuje jako
Dropper, druhá jako Sender a třetí je knihovna WinSock. Právě Dropper slouží
jako kus programového kódu připojovaný k e-mailovým zprávám. Jakmile je exe
soubor spuštěn, nakopíruje se do adresáře Windows s názvem sysmcm.
exe a zapíše se do registrů, což mu zajišťuje spuštění při každém
(re)startování systému Windows:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun SysDrv = %System%sysmcm.exe
(Kde "System" je systémový adresář Windows.)
Vzápětí nato zahraje krátkou melodii a zobrazí tři na sebe navazující
jednoduché obrázky, aby se skryl (resp. aby skryl svou aktivitu).
Dropper má za úkol pouze "zabydlet" Music v napadeném počítači, v žádném
případě nevykonává žádnou šířící rutinu. Za tímto účelem se totiž musí spojit s
dvojicí webových stránek, přičemž odtud získává dvě své zbývající součásti. Ty
nakopíruje do adresáře Windows pod jmény sysdrv.exe a systmp.dll (standardní MS
Visual Studio dll knihovna).
V tomto okamžiku Music vykonal svou první rutinu a předává činnost souboru
sysdrv.exe (tzv. Sender). Ten získává e-mailové adresy z Windows Address Book a
na všechny rozesílá zprávy s připojeným exe souborem obsahujícím Dropper.
Infikovaná zpráva má v každém případě předmět "Testing to send file", jen její
text se může měnit:
Hi, just testing email using Merry Christmas music file, not bad music.
nebo:
Hi, just testing email using Merry Christmas music file, youll like it.
Update viru
Mimo výše zmíněného využití Internetu ke stažení dvou svých součástí je Music
schopen ze stejného zdroje získat i sám sebe porovná svou stávající verzi s
verzí nabízenou na Internetu, a pokud je k dispozici vyšší verze, stahuje si
ji. Takto je teoreticky červ schopen průběžně měnit své vlastnosti a funkčnost
v závislosti na přáních či potřebách neznámého autora, který si nechává poněkud
neoriginálně říkat "The author". O tom svědčí text ve zdrojovém kódu části
Sender:
Hi, tracing this file? Its a very friendly program, it do nothing harm to your
system. In fact I hate a file like this, but the bad thing is I cant find a
job, and I need to rent my basement room, I only hope this file could help me
to make my both ends meet. Thanks & regards. The author, Nov 08, 2000.
Kromě uvedeného zápisu v registrech vytváří Music ještě jeden klíč, do nějž
ukládá svá "soukromá" data:
HKLMSoftwareMicrosoftMCM
FirstRun
LastRun
RunMCM
Status
SMTP
Version = 001111
Všechny antivirové programy s aktualizací alespoň z prosince 2000 si se
škodlivým kódem Music poradí. Navíc se tento "produkt" v současné době mezi
uživateli nešíří, neboť mu byla "přistřižena křidýlka" odstavením webových
stránek, z nichž si stahoval své komponenty. A bez nich není životaschopný.
Ovšem není vyloučeno, že by v dohledné době mohla vzniknout více či méně
jednoduchou úpravou jeho další varianta s odkazy na jinou WWW stránku.
1 0832 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.