Mnozí prorokové (tedy specialisté na antivirovou problematiku) předpovídají, že
dříve či později se na světě objeví "dobrodinci" (tedy autoři virů), kteří
budou schopni napsat programy umožňující napadení mobilních telefonů. Vzhledem
k tomu, že se mobilní komunikace rozvíjejí tempem doslova raketovým, je téměř
jisté, že jednoho dne se virus schopný napadnout mobilní telefony skutečně
objeví.
Nedávno spatřila světlo světa první vlaštovka z této kategorie: Počítačový
virus, který majitele mobilních telefonů alespoň obtěžoval posíláním SMS zpráv.
Dostal jméno Timofonica podle předmětu e-mailové zprávy, kterou se šířil, a
také podle telefonního operátora, jehož služby kritizoval.
Vzhledem k tomu, že šlo o další pokračování veleúspěšným škodlivým kódem
Iloveyou zahájené romance na téma VBS (Visual Basic Script), šíří se e-mailovou
zprávou využívaje bezpečnostních slabin aplikace MS Outlook a naivity
uživatelů. Ke svému "životu" a šíření vyžaduje nainstalovaný Windows Scripting
Host, který se standardně do počítače dostává spolu s Windows 98 a 2000. To
ovšem neznamená, že by uživatelé ostatních verzí tohoto operačního systému
mohli spát klidně: WSH je totiž možné dodatečně doinstalovat.
Škodlivý kód se do počítače dostane zprávou, která má jako předmět uvedeno
jméno operátora Timofonica, přičemž v jejím těle je španělsky psaný text
hodnotící jeho služby a tržní chování a že jej příliš nechválí, jistě netřeba
dvakrát zdůrazňovat. Na konci je připojený soubor TIMOFONICA.TXT.vbs. Záleží
přitom na nastavení každého počítače, zdali je přípona vbs zobrazována:
Uživatelům se pak soubor může jevit jako obyčejný textový soubor txt, neschopný
nést viry, a mohou jej bez jakýchkoliv pochybností spustit.
Poté, co se uživatel pokusí připojený soubor spustit, nastává víceméně klasická
infekční rutina: Timofonica rozesílá své kopie (tedy e-mailové zprávy s výše
uvedenými parametry) na všechny adresy ze seznamu kontaktů MS Outlooku.
Ovšem mimo to umí ještě něco navíc. Za každou odeslanou zprávou s infikovanou
kopií vygeneruje jedno náhodné číslo a odešle zprávu na e-mailovou adresu
(náhodné číslo) @correo.movistar.net. Zpráva má předmět "TIMOFONICA" a text
"informa que: Telefonica te esta engaáando". Adresa correo.movistar.net je
přitom SMS bránou, která distribuuje uživatelům mobilních telefonů e-mailové
zprávy. A tak dochází k tomu, že Timofonica spamuje (tedy obtěžuje nevyžádanou
poštou) uživatele mobilních telefonů.
Přitom na rozdíl od e-mailových virů, které využívají seznamy adres v poštovním
klientovi (ostatně viz výše), může být "zasažen" prakticky kterýkoliv uživatel
mobilního telefonu dané sítě stačí jen, aby měl to "štěstí" a viru se podařilo
vygenerovat jeho účastnické číslo.
Ovšem toto není zdaleka úplný výčet toho, co Timofonica umí. Do infikovaného
počítače totiž ještě vypouští trojského koně. A to tak, že vytváří soubor
cmos.com v systémovém adresáři Windows a zapíše do něj část kódu, kterou si s
sebou "nese". Následuje zápis do registrů s odkazem právě na tento soubor:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunCmos = Cmos.com
Výsledkem je, že při příštím spuštění Windows soubor cmos.com přebírá kontrolu,
přepisuje obsah paměti CMOS a poškozuje informace na lokálních discích.
Dalším efektem, jímž se Timofonica v napadeném počítači projevuje, je vytvoření
souboru C:TIMOFONICA.TXT. Jedná se o pamflet kritizující operátora Timofonica
a jeho chování. Dochází též k modifikování systémových registrů tak, aby byl
tento dokument otevřen v Notepadu (Poznámkovém bloku) vždy, když se uživatel či
operační systém pokusí spustit jakýkoliv vbs soubor. K obnovení normální
funkčnosti asociace se soubory vbs stačí v příkazovém řádku Windows spustit
příkaz: WSCRIPT //H:WSCRIPT.
0 1741 / pen