Sonic: Automaticky aktualizovaný červ

Kde se vzal, tu se vzal v říjnu roku 2000 se ve Francii a v Německu jako v prvních zemích objevil nový e-mailový červ ...


Kde se vzal, tu se vzal v říjnu roku 2000 se ve Francii a v Německu jako v
prvních zemích objevil nový e-mailový červ Sonic. Ovšem během krátké doby
překročil hranice těchto dvou evropských zemí a vydal se "do světa".
Nejzajímavější vlastností Sonicu je schopnost automaticky se updatovat i
upgradovat stahovat si bez vědomí uživatele z Internetu další části. Sonic se
skládá ze dvou základních komponent. První z nich je "nahrávač" (loader),
druhou hlavní modul. Kopie první z nich přitom putují světem šířené pomocí
elektronické pošty. "Nahrávač" je klasický Windows exe soubor dlouhý cca 25
kilobajtů, přičemž je zkomprimovaný pomocí utility UPX. Bez komprese jeho
velikost narůstá téměř trojnásobně. V okamžiku, kdy je loader aktivován v
počítači (tedy je spuštěn z přílohy u e-mailové zprávy, která má předmět
"Choose your poison", prázdný text a přílohu girls.exe), zaregistruje se jako
skrytá služba. Vzápětí nato se nakopíruje do systémového adresáře Windows se
jménem gdi32.exe a zaregistruje se do auto-run systému klíčem:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun GDI = WinSysGDI32.EXE.
"WinSys" zde znamená název adresáře s umístěním systému Windows v daném
počítači. Výsledkem tohoto kroku je spuštění Sonicu při každém (re)startu
operačního systému. Červ přitom spoléhá na skutečnost, že soubory gdi.exe a
gdi32.dll jsou v počítačích s Windows standardně instalovány vzhledem k použití
podobného názvu (gdi32.exe) se alespoň matně pokouší zastřít svou přítomnost.
V okamžiku, kdy Sonic dorazí do počítače a nic netušící uživatel jej spustí,
dojde k zobrazení chybové hlášky:
Soubor n est pas une application Win32 valide, kde "Soubor" je skutečné jméno
souboru, z něhož byl červ spuštěn (zpravidla girls.exe). Jedná se o další z
celé řady zastíracích manévrů, aby uživatel nepojal podezření.
Stahování modulu
Poté se pokouší čerstvý nezvaný obyvatel PC spojit prostřednictvím Internetu s
hackerskou stránkou na Geocities (populárním zdroji osobních webových stránek
zdarma), odkud se pokouší nahrát hlavní modul a instalovat jej v dotyčném
počítači. Proces je uskutečněn tak, že po kontaktování dotyčné stránky dochází
nejprve ke stažení souboru lastersion.txt s číslem verze hlavního modulu, který
je k dispozici na této stránce. Pokud na infikovaném počítači není hlavní modul
vůbec nebo jde o nižší verzi, než je k dispozici na Webu, pak dochází ke
stažení dvou souborů: xx.zip (kde xx je číslo současné verze hlavního modulu) a
gateway.zip (poslední verze nahrávače). Po stažení jsou samozřejmě rozbaleny a
spuštěny.
Tento modul může vykonat spoustu pro uživatele nepříjemných úkonů: Může sloužit
k neautorizovanému získávání dat, sledování aktivit uživatele stejně jako k
získání vzdálené správy nad infikovaným počítačem (funkce "zadních dvířek"),
stejně tak může likvidovat data či měnit nastavení počítače. Může, ale
nevykonává, neboť Sonic je pravděpodobně jen prototypem. Autor škodlivého kódu
ale může bez větší námahy změnit obsah hlavního modulu ten stačí umístit na
Web, odkud si jej jednotlivé infikované počítače už samy stáhnou.
Hlavní část
Hlavní komponentou červa je Windows exe soubor o velikosti 40 kilobajtů. Stejně
jako loader je komprimován utilitou UPX, dekomprimovaný zabírá 120 kilobajtů.
Sonic jej umístí do adresáře s operačním systémem Windows pod jménem
gdi32a.exe, následně jej zapíše do registrů stejným způsobem jako loader. Poté
Sonic získává přístup k Windows Address Book (WAB), z nějž "těží" e-mailové
adresy a na všechny rozesílá zprávy obsahující jako přílohu loader.
Není to poprvé, co byl objeven škodlivý kód podobných vlastností Sonicu
předcházely již např. Babylonia či Resume, které také stahovaly z Internetu
některé své komponenty. Vše nasvědčuje tomu, že stojíme u vzniku nového
standardu pro počítačové viry a podobnou havěť, pro něž se stává Internet nejen
prostředníkem k šíření, ale skutečným životním prostředím.
1 0484 / pen

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.