Virus, jenž mění svou tvář

Vzhledem k tomu, že scénu počítačových virů v současné době opanovaly nejrůznější e-mailové škodlivé kódy č...


Vzhledem k tomu, že scénu počítačových virů v současné době opanovaly
nejrůznější e-mailové škodlivé kódy či makroviry, mohlo by se zdát, že "staré
dobré" souborové viry jsou již přežité. To ovšem není tak docela pravda i
ostatní kategorie počítačových virů se zdárně rozvíjejí, nicméně se jim
nedostává takové popularity či rozšíření jako výše jmenovaným.
Do kategorie těchto "starých dobrých" škodlivých kódů patří i virus Smash,
který byl objeven v polovině dubna letošního roku. Je to rezidentní parazitický
virus pro Windows 9x, který má délku 12 288 bajtů. Vzhledem k tomu, že využívá
funkci Win 9x (VxD volání), není schopen se šířit pod jinými operačními systémy
tedy ani pod Windows NT.
V okamžiku spuštění zavirovaného souboru si Smash připravuje půdu pro svůj útok
tím, že využívá předkalkulovanou tabulku CRC, která importuje sedmnáct API
adres z kernel32.dll a user32.dll. Zároveň s tím zjišťuje, zdali je již
rezidentní v systému (aby zabránil svému dvojči vícenásobnému spuštění). A
ještě sleduje verzi operačního systému, která je instalovaná v počítači. Jak
již bylo uvedeno, je vzhledem k využití některých speciálních funkcí schopen
korektně "pracovat" pouze pod Win 9x.
Virus napadá soubory formátu PE (Portable Executable) zapisováním se na jejich
konec. Smash přitom nevěnuje žádnou pozornost aktuální příponě souboru, ale
zkoumá je podle informací v hlavičce. Výsledkem je, že napadá vykonatelné
soubory, dll knihovny, šetřiče obrazovky scr atd.
V útoku
Škodlivý kód Smash obsahuje velmi nebezpečnou rutinu, která je aktivována v
okamžiku, kdy systémové hodiny udávají datum 14. července. Tato rutina
přepisuje soubor c:io.sys kusem vlastního programového kódu, navíc u něj
dochází i ke změně entry pointu. Poté je zobrazena známá modrá obrazovka
Windows, ovšem s následujícím oznámením:
Virus Warning!
Your computer has been infected by virus.
Virus name is ,SMASH, project D version 0x0A.
Created and compiled by Domitor.
Seems like your bad dream comes true...
Smash vzápětí rebootuje počítač, přičemž při této akci je infikovaný io.sys
soubor nahrán a vykonán. Výsledkem je zobrazení další informace na monitoru:
Formating hard disk.
Jedná se o smutné konstatování, neboť zatímco jej uživatel čte, virus již
skutečně vesele formátuje pevný disk.
Jak se skrývá
Aby co nejvíce ztížil svou detekci (nejen) pomocí antivirových programů a
následnou dezinfekci, virus využívá zajímavou polymorfní funkci. Používá totiž
strukturu nazývanou "blocks-mixing" (záměna sekcí); něco podobného bylo
využíváno již v dobách dosovských virů (např. Badboy). Programový kód viru a v
něm obsažená data jsou rozděleny do šedesáti bloků. Jakmile virus infikuje
další soubor, "namíchá" tyto bloky v náhodném pořadí a pospojuje je za pomoci
speciální tabulky. Výsledkem je, že struktura viru je v různých infikovaných
souborech pokaždé jiná.
V okamžiku, kdy je kód viru připraven pro zápis do souboru-oběti (bloky jsou
pomíchané, zašifrované a "zabalené" do polymorfní "obálky"), virus vytváří
novou sekci na konci souboru. Do ní zapíše svůj kód a změní nezbytná pole v PE
hlavičce (včetně startovacího místa aby virus získal kontrolu okamžitě,
kdykoliv je soubor vykonán). Jméno této sekce je generováno náhodně, a to tak,
že je použito jméno již existující sekce, odděleno z něj první a poslední
písmeno a tato jsou náhodně nahrazena. Takto vytvořený název sekce pak vypadá
důvěryhodněji.
Virus se ovšem prozradí něčím jiným všechny infikované soubory zvětší svou
velikost o 12 kilobajtů.
V napadeném počítači Smash "bydlí" v paměti Windows, kde zůstává po celou dobu
běhu operačního systému jako VxD driver. Navěšuje se přitom na funkci IFS, kde
čeká na požadavek k otevření souboru. V tom okamžiku přebírá kontrolu a napadá
volanou aplikaci postupem popsaným výše (kontrola hlavičky, zdali se jedná o PE
soubor, "promíchání" svých šedesáti bloků a následně zápis na konec vybraného
souboru).
0 2208 / pen

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.