Badtrans: Zloděj dat

Badtrans je dalším e-mailovým červem šířícím se pod 32bitovými verzemi operačního systému Windows. Mimo obligátn...


Badtrans je dalším e-mailovým červem šířícím se pod 32bitovými verzemi
operačního systému Windows. Mimo obligátního rozesílání sám sebe na adresy
elektronické pošty dokáže do napadeného počítače instalovat ještě program,
který může posloužit k odcizování dat.

Červ Badtrans byl poprvé zaregistrován 12. dubna 2001. Sám o sobě je to exe
soubor ve formátu Win32. Jeho velikost je 40 KB, ale ve zkomprimované podobě (v
níž se také šíří coby příloha zpráv elektronické pošty) má 13 KB. Badtrans se
skládá z několika základních komponent, které jsou umístěny na disk do
oddělených souborů a jako takové jsou samostatně vykonávány.
Jakmile je infikovaný soubor spuštěn nejčastěji, když uživatel klikne na
připojený soubor u e-mailu dochází k instalaci škodlivého kódu do systému. Do
adresáře Windows jsou nakopírovány soubory inetd.exe a hkk32.exe. První z nich
je vlastním tělem červa, druhý trojskou součástí, která může být použita ke
zcizování dat (a hesel).

Trojská součást (soubor hkk32.
exe) je následně spuštěna. Sama sebe zkopíruje do systémového adresáře Windows
pod jménem kern32.exe a vytvoří si knihovnu hksdll.dll. Mimo to se zde objeví i
datový soubor cp_23421.nls, do něhož si trójan ukládá svá interní data.
Hkk32.exe je následně smazán. Trójan se pokouší odeslat zjištěná hesla z
infikovaného počítače na e-mailovou adresu ld8dl1@mailandnews.com.
Soubor inetd.exe se registruje do auto-run sekce v registrech a pod Windows
95/98/ME zapisuje příkaz "run=" do sekce [windows] v souboru win.ini.
V případě, že je v napadeném počítači systém Windows NT nebo 2000, dochází k
vytvoření registračního klíče:
HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows RUN =
C:WINDOWSINETD.EXE
Také trojská komponenta je zapsána do registrů, a to do RunOnce klíče:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce kernel32 = kern32.exe
(Protože je to klíč "RunOnce", trójan jej při každém (re)startu počítače musí
zapsat znovu, aby se zajistilo jeho vykonání pokaždé.)
Aby skryl svou aktivitu, zobrazuje Badtrans dialogové okno, které má v
uživateli navodit dojem, že se spouštěný soubor nepodařilo vykonat. Poté ukončí
svou činnost. Neposílá zavirované zprávy z napadeného počítače okamžitě, ale až
po restartu.

Další akce
Šíření červa se děje pomocí souboru inetd.exe, který je díky výše popsanému
zápisu v registrech spuštěn při každém (re)startu operačního systému. Po své
aktivaci se zapíše jako skrytá procedura a cca na pět minut "usne" předtím, než
aktivuje svou šířící rutinu.
Při šíření Badtrans získává přístup k MAPI funkcím, následně otevírá všechny
dosud neotevřené e-maily a "odpovídá" na ně. Přitom je zajímavé, že na
nepřečtené zprávy (tedy na všechny nově příchozí) červ odpovídá po celou dobu
činnosti počítače.
Jméno souboru červa u e-mailové zprávy je vybráno z jedné ze šestnácti
možností. "Předmět" infikované zprávy je stejný jako v případě původní zprávy,
přičemž se před něj předkládá "Re:". K původnímu text je připojen pouze
dovětek: > Take a look to the attachment.
Červ obsahuje trik, který měl za cíl zabránit, aby docházelo k dvoj či
víceronásobnému odpovídání na jednu e-mailovou adresu. Měl také zabránit
odpovídání sobě samému na e-maily z jiného infikovaného počítače. Spočívá v
tom, že za "Předmět" (Subject) přidává dvě mezery ty jsou prostým okem
neviditelné, ale v počítačové řeči mají své jasné místo. Na takto upravené
zprávy Badtrans nereaguje a "neodpovídá". Tato "dvoumezerová" ochrana ale
nefunguje v případě některých e-mailových serverů, jež mají nastaveno
automatické mazání všech mezer na konci řádku Předmět. V praxi je pak
výsledkem, že jakmile se setkají dva infikované počítače, začnou si "dopisovat"
navzájem, čímž vzniká nekonečná smyčka infikovaných zpráv.
Toto zacyklení vzniká častěji, než by bylo zdrávo mimo výše uvedeného
"odmazávání" mezer na poštovních serverech totiž Badtrans není v některých
poštovních klientech schopen zprávy tímto způsobem vůbec označit. Přímým
důsledkem této smyčky může být i pád zprávami zahlceného e-mailového serveru.
1 1239 / pen

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.