Hybris virus pro 21. století

O několik měsíců dříve než většina běžných smrtelníků vstoupily do 21. století počítačové viry a škodlivé...


O několik měsíců dříve než většina běžných smrtelníků vstoupily do 21. století
počítačové viry a škodlivé kódy. Shodli se na tom specialisté na antivirovou
problematiku poté, co se objevil počítačový virus Hybris. Jednak využívá
několika nových technologií a nápadů, jednak (což je u viru velká vzácnost)
neobsahuje chyby.
Hybris (na rozdíl od jiných kódů) neodezněl po několika dnech, ale jeho útok je
čím dál tím silnější. Velmi rozšířený je také v České republice. Jde o
32bitovou aplikaci pro Windows, o e-mailového červa, který se šíří
prostřednictvím elektronické pošty. Mimo svého hlavního jádra obsahuje také
plug-iny, které jsou vykonávány v závislosti na aktuálních potřebách a které
mohou být upgradovány z Internetu. Jeho programový kód (který je navíc
polymorfní) obsahuje následující text:

HYBRIS
(c) Vecna
Hlavním terčem útoku tohoto červa v počítači je knihovna wsock32.dll infikuje
ji tak, že se přidá na konec tohoto souboru a začne monitorovat funkce
"connect" a "send". Modifikuje hlavičku této knihovny, přičemž tu původní si v
zašifrované podobě uschová.
Pokud není schopen knihovnu wsock32.dll infikovat (v případě, že je užívána
jiným programem či je zamčena pro zápis), nehází červ pomyslnou flintu do žita.
Vytvoří si její kopii, tu infikuje a do winint.ini souboru zadá příkaz vedoucí
k přejmenování napadené knihovny. Výsledkem je nahrazení wsock32.dll
infikovanou kopií při příštím (re)startu Windows.
Hybris vytváří ještě svoji kopii s náhodně vygenerovaným jménem (např.
ccmboifm.exe, lphbngae.exe, lfpcmoif.exe) v systémovém adresáři Windows a
zaregistruje se do klíče RunOnce:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce{Default} =
%System%Jmeno
nebo
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce{Default} =
%System%Jmeno
Kde "System" je cesta k systémové složce Windows v daném počítači a "Jmeno" je
aktuální název kopie Hybrisu. Důvodem k této činnosti je snaha červa "zabydlet"
se v počítači opravdu důkladně (pokud se podaří knihovnu wsock32.dll uvést do
původního stavu, stále nemáte vyhráno a infekce v počítači sídlí i nadále).
Červí práce
Infikování wsock32.dll má jeden základní cíl Hybris tak může monitorovat síťové
spojení včetně provozu na Internetu. Ve všech datech pak vyhledává e-mailové
adresy jakmile je nějaká detekována, červ ještě chvíli počká a poté na ni
odešle svou kopii. Jinými slovy stačí, aby se v prohlížené webové stránce
objevila e-mailová adresa, a Hybris už jásá nad dalším "úlovkem".
Funkčnost červa přitom do značné míry záleží na plug-inech (přídavných
modulech), které jsou v jeho těle uloženy zašifrované silným 128bitových
klíčem. Podle posledních sčítání je zatím známo 32 různých verzí těchto modulů.
Každý z nich přitom vykonává více či méně odlišné úkony a updatovány mohou být
ze stránky http://pleiku.vietmedia.com/bye/. Jinými slovy skutečná funkčnost
červa záleží pouze na hostitelském prostředí, zda je či není schopné stahovat z
Internetu další moduly.
K updatu plug-inu využívá červ newsgroup alt.comp, přičemž se náhodně připojuje
k jednomu ze sedmdesáti serverů, které má na seznamu. V takové chvíli červ
posílá do newsgroup vzkazy s například následujícími podobami předmětů:
encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
encr CMBK bKfOjafCjyfWnqLqzSTWTu DmfefyvurSLeXGHqR
text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
text RFRE rebibmTCDOzGbCjSZ
První čtyři písmena jsou přitom jména plug-inu, další čtyři obsahují informaci
o jeho verzi. Stejně jako vzkazy odesílá, tak je Hybris i monitoruje. Příchozí
informace o verzích plug-inů v jiných počítačích pak porovnává s těmi, které
již má k dispozici. Pokud se v newsgroup objeví zpráva o vyšší verzi, červ se
ji pokusí stáhnout, a nahradit tak již používající variantu. Takto se Hybris
postupně automaticky updatuje.
A na závěr to nejdůležitější: Co plug-iny vlastně umějí? Bez nich je totiž
Hybris absolutně "nahý" a neschopný života. Jeden z nich umí infikovat zip a
rar archivy na všech discích, k nimž má počítač přístup (při infikování červ
přejmenovává exe soubory v archivech koncovkou ex$ a přidává svou kopii s
koncovkou exe a původním názvem souboru do archivu). Jiný plug-in dokáže šířit
Hybris na další počítače, které mají nainstalován trojský program SubSeven.
Jiný zase zajišťuje distribuci Hybrisu pomocí elektronické pošty a veze si s
sebou celou databázi předmětů, textů a názvů příloh z nich pak náhodně skládá
infikovanou zprávu.
Červí plug-iny
Červ Hybris si své plug-iny umisťuje jako soubory v systémovém adresáři
Windows. Jejich jméno je generováno náhodně, takže mají na první pohled
prapodivné názvy jako bibgahnh.ibg, dacaapko.acm, gafibpfm.afi, imaladol.mal či
maladoli.ala.
1 0247 / pen

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.