Poslední dobou se na Internetu začíná čím dál více šířit kategorie virů, které
se říká "worms", červi. Vyznačují se tím, že se do světa vydávají
prostřednictvím e-mailu ve formě attachmentu (tj. přílohy k vlastní zprávě).
Zatím nejnebezpečnějším "červem" se stal "Zipped_Files.Exe".
Jedná se o 210 KB dlouhého červa, který je napsaný v Delphi. Poté, co se
dostane do systému počítače, posílá infikované e-maily za použití adres v
Inboxu (virus je samozřejmě v příloze, samotný text e-mailu nemůže nikdy žádný
virus obsahovat). Zipped_Files.Exe se na první pohled tváří jako
samorozbalovací archiv ZIP a aby se co nejlépe maskoval, vypíše po spuštění
chybové hlášení:
Error
Cannot open file: it does not appear to be a valid archive. If this file is
part of a ZIP format backup set, insert the last disk of the backup set and try
again. Please press F1 for help.
Uživatel tak nabude dojmu, že jde pouze o chybu v zazipovaném souboru a zatím
se mu už v útrobách počítače usídlil červ připravený páchat svou zákeřnou
činnost. Aby ji mohl konat, musí se nakopírovat do počítače následující soubory:
C:WINDOWS_SETUP.EXE
C:WINDOWSSYSTEMEXPLORE.EXE
Červ poté zapíše svou kopii do konfigurace Windows win.ini, aby si zajistil
spuštění pokaždé, kdykoliv se Windows nastartují. Červa potom lze poměrně
snadno odhalit: Po stisku kombinace kláves Ctrl-Alt-Del je vypsaný pod jedním z
následujících názvů: Zipped_files, Explore nebo _setup.
A co vlastně červ dělá? V prvé řadě monitoruje elektronickou poštu a na
příchozí zprávy odpovídá následujícím textem:
Předmět: RE: [původní předmět]
Hi [jméno příjemce]
I received your email and I shall send you a reply ASAP. (As Soon As Possible
pozn. autora; samozřejmě autora článku, nikoliv viru.)
Till then, take a look at the attached zipped docs.
Nakonec je jedna ze dvou variant podpisu:
bye. [jméno odesílatele]
sincerely [jméno odesílatele]
Prostě se tváří jako seriózní odpověď na příchozí e-mail, v němž sděluje, že
adresát je momentálně zaneprázdněn a že odpoví, jakmile to bude možné. Zatím
nabízí k otevření přiložený soubor, který má obsahovat zkomprimované dokumenty.
Místo nich však obsahuje virus. U e-mailu samozřejmě nechybí příloha
"Zipped_Files.Exe".
Červ "Zipped_Files.Exe" nese extrémně nebezpečný "náklad". Kdykoliv se spustí,
prohledá všechny lokální i síťové pevné disky, které jsou k dispozici, najde
soubory s koncovkami c, h, cpp, asm, doc, xls, ppt a vynuluje záznam o jejich
délce, takže se stanou nepoužitelnými.
9 2601 / pen