Drepo

Neustále se objevují nové viry. Některé více, některé méně "podařené". Do skupiny těch prvních lze bezesporu za


Neustále se objevují nové viry. Některé více, některé méně "podařené". Do
skupiny těch prvních lze bezesporu zařadit i výtvor zřejmě českého původu virus
Drepo. Jedná se o rezidentní, polymorfní virus, který napadá COMMAND.COM a
některé spustitelné EXE soubory, kromě toho jsou známy i mutace napadající také
soubory COM.
Virus můžete získat především tak, že si ho přinesete na disketě, HDD, Syquestu
nebo na CD-ROMu (to aby byla jeho existence trvalá). "Výhodně ho pořídíte" na
různých BBSkách, na Internetu, zkrátka všude, kde je možné získat nějaký ten
soubor typu *.EXE nebo *.COM.
Infiltrace
Drepo při aktivaci testuje, zda je již systém infikován. Jako většina
"moderních" virů nedopustí, aby byla v paměti aktivní více jak jedna kopie a
zvyšovala se tím možnost odhalení. Tento dotaz provádí voláním přerušení INT
21h, reg. BX=FFFFh. Vrátí-li toto volání příznak CY=0, virus je aktivní v
paměti. Pokud virus nebyl v paměti nalezen, následuje přímý atak, jehož cílem
je soubor COMMAND.COM.
Zde má možnost zasáhnout kvalitní antivirový software. Drepo totiž vždy
infikuje první COMMAND.COM. Pokud tudíž používáte program, který umí hlídat
důležité systémové soubory, může to být vaše záchrana. Ale pozor, nestačí
chránit jen spustitelné soubory proti modifikacím. Je nutno je chránit i proti
přejmenování, kopírování či vytvoření.
Způsob, jakým Drepo infikuje příkazový interpret, je svým pojetím do jisté míry
zajímavý. Svou činnost zahájí tím, že pomocí nízkoúrovňových služeb pro čtení
sektoru načte kořenový adresář disku, vyhledá v něm položku COMMAND.COM a
přejmenuje ji na COMMAND.LOM. Pro rezidentní antivirové štíty, které nehlídají
také adresářové položky citlivých programů či jejich fyzické uložení na disku,
se tak díky další činnosti viru stává vše naprosto legálním. COMMAND. COM je
následně infikován a přejmenován zpět. Poté již virus nevyvíjí žádné aktivity
až do nového nastartování počítače.
Množit, množit, množit
Po restartování systému s již infikovaným interpretem obsazuje virus přerušení
INT 21 služby DOSu a stává se aktivním. Na INT 21h sleduje virus souborové
funkce, při kterých infikuje další programy, ale neničí je. Zde je patrné, že
se jedná o virus nepřepisující. Ukrývá prodloužení infikovaných souborů a
samozřejmě nemění datum a čas napadených souborů, mimo nastavení sekundy na 62,
čímž brání vícenásobné infekce u napadených souborů. To celé činí opět z důvodu
maskování, protože pokud by napadl víckrát jeden soubor, vzrostla by
pravděpodobnost jeho odhalení. Po cca 2 měsících od proniknutí do systému si
virus přivlastní také přerušení INT 9 přerušení klávesnice. Nyní už se neskrývá
a dává svou existenci najevo v náhodných intervalech. Pokud tedy zjistíte
občasnou nefunkčnost mezerníku, nevyhazujte klávesnici, nýbrž antivirový
software, který vás neochránil.
Léčba
Prvním předpokladem úspěšné léčby systému je samozřejmě čistota paměti, tj.
virus nesmí být aktivní. Délka viru je 2 470 bajtů, po aktivaci však v paměti
obsazuje
2 700 bajtů a to v bloku, který patří COMMAND.COMu. Je kódován jednoduchou
xorovací smyčkou, která je proložena náhodnými "slepými" instrukcemi, čímž se
řadí k vyšší kategorii polymorfních virů. Oproti tomu jsou však jeho výkonné
instrukce umístěny na pevných místech a nemění pořadí, což usnadňuje
identifikaci viru.
Virus obsahuje kódovaný text "Pod na jedno DREPO! Shareware version. Do not
forget to register.", což nasvědčuje tomu že je virus pravděpodobně českého
původu. Tento řetězec je stálý a zjednodušuje odhalení viru a zavirovaných
souborů.
Je nutné mít na paměti, že výsledky vypořádání se s virem Drepo závisí na
mutaci, kterou máte, na vnitřní struktuře napadeného souboru, a na vaší
systémové konfiguraci. To v praxi znamená, že ne všechny čističe si s ním
poradí a některé scannery jej nemusí detekovat. Virus lze bez problému
detekovat a čistit pomocí programu AECCLN2 nebo TbClean.
8 0288 / Maf

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.