Virový maják č. 36: Únor bílý, viry sílí
Ani únorová virová scéna nevypadá v tuto chvíli příliš klidně. Kromě řádky modifikovaných makrovirů pro MS Word (objevila se další Melissa, Thursday a Marker) a dalších více či méně škodlivých potvůrek se začíná objevovat nový typ červů. Patrně po inspiraci nedávnými DoS útoky na velké světové servery se autoři virů vrhli na programy, které váš počítač zapojí do DoS útoku, aniž byste cokoli tušili. Bude-li některý z těchto virů hodně úspěšný a rozšíří se mezi uživateli, čekají internetový server, na který bude tento virus zaměřen, útoky z celého světa. V blízké době můžeme očekávat velké množství těchto programů a nezbývá než doufat, že antivirové firmy budou reagovat s dostatečnou rychlostí, protože v opačném případě nemá světový Internet zrovna růžové vyhlídky.
Pojďme se ale podívat na některé zajímavé viry, které se objevily v posledních dnech.
Win32.Haiku
Nová rodina červů, kteří používají zajímavý způsob sběru e-mailových adres, na které se pak automaticky rozešlou. Jejich cílem tedy není likvidace dat, ale mohou způsobit zbytečné přetěžování sítě. Win32.Haiku můžete dostat elektronickou poštou od někoho, koho znáte, proto buďte v každém případě velmi ostražití dostanete-li zprávu s předmětem Fw: Compose your own haikus! a přílohou haiku.exe. Zpráva obsahuje text:
:))----- Original Message ----->"Old pond...> a frog leaps in> water's sound."
>- Matsuo Basho.>>DO YOU WANT TO COMPOSE YOUR OWN HAIKUS?>
>Haiku is a small poetry with oriental metric that appeared in the
>XVI century and is being very popular, mainly in Japan and the USA.>
>It's done to trascend the limitation imposed by the usual language
>and the linear/scientific thinking that treat the nature and the
>human being as a machine.>
>It usually has 3 lines and 17 syllables distributed in 5, 7 and 5.
>It must register or indicate a moment, sensation, impression or
>drama of a specific fact of nature. It's almost like a photo of
>some specific moment of nature.>
>More than inspiration, what you need in order to compose a real
>haiku is meditation, effort and perception.>
>DO YOU WANT TO COMPOSE YOUR OWN HAIKUS?>
>Now you can! it is very easy to get started in this old poetry
>art. Attached to this e-mail you will find a copy of a simple
>haiku generator. It will help you in order to understand the
>basics of the metric, rhyme and subjects which should be used
>when composing a real haiku... just check it out! it's freeware
>and you can use and spread it as long as you want!
Pokud přiložený soubor spustíte, umístí virus svou kopii do složky Windows a upraví soubor WIN.INI tak, aby byl spouštěn současně s operačním systémem. Poté Haiku zobrazuje básničky složené z vlastního seznamu slov. Při dalším restartu se červ usídlí v paměti tak, že jej nelze najít v seznamu spuštěných úloh. V okamžiku, kdy se připojíte k Internetu, prohledá soubory s příponami .doc, .eml, .htm, .rtf a .txt, z nichž si vytáhne všechny e-mailové adresy a následně se na ně rozešle skrze server umožňující anonymní odesílání mailů.
Virus se dále připojuje k internetovému serveru, z nějž si stáhne soubor Haiku.wav, který uloží do kořenového adresáře, přehraje jej a následně tento soubor smaže.
Autorem viru je údajně člověk známý pod přezdívkou Mr. Sandman z virové skupiny 29A (z této skupiny také pochází autor viru Win2K.Inta, což je nedávno objevený první virus pro Windows 2000).
W97M.Myna.c
Jednoduchý makrovirus pro patrně nejčastější platformu MS Word 97, který je schopný šířit se i pod Wordem s nainstalovanými service packy, naštěstí však funguje pouze pod anglickou mutací MS Word a nemá destruktivní účinky.
Při otevření infikovaného dokumentu Mina.c, jak je obvyklé u tohoto druhu virů, vypne antivirovou ochranu maker. Pak kontroluje, zda je ve zdrojovém kódu každého otevíraného nebo nově vytvářeného dokumentu obsažen řetězec MYNAMEISVIRUS (podobný způsob zjištění, zda je soubor již infikován či nikoli používá známý W97M.Marker) a v případě, že tento řetězec nenalezne, zkopíruje do souboru svůj kód. Vzhledem k tomu, že se virus neumí šířit jinak, než přes dokumenty (nepoužívá například automatické rozesílání elektronickou poštou), nelze jej považovat za příliš nebezpečný.
W32.RunFtp.worm.script
Další červ napsaný v JavaScriptu, který využívá bezpečnostní díry v MS Internet Exploreru 5.0. Pokud navštívíte stránku obsahující tento skript, uloží se do složky Windows soubor Explorer.hta. Tento soubor obsahuje kód, který se pokusí ze zadaných FTP serverů stáhnout soubor MSIE.EXE. MSIE.EXE je samorozbalovací archiv ve formátu ZIP obsahující ActiveX komponentu MSWINSCK.OCX a spustitelný program EXPLORER.EXE. Tyto soubory jsou rozbaleny do nově vytvořené složky Windows\System\System. Následně virus upraví WIN.INI tak, aby se při startu systému spouštěl EXPLORER.EXE. Tento program lze najít v seznamu spuštěných úloh, ovšem nelze jej rozeznat od Exploreru, který zajišťuje grafické rozhraní Windows (pokud se pokusíte ukončit nesprávný Explorer.exe, dojde k ukončení Windows). Tento soubor pak podle některých zpráv má za úkol provádět DoS (Denial Of Service) útoky na vybrané servery. Váš počítač se tak snadno může bez vašeho vědomí zapojit do přetěžování internetových serverů, což může mít za následek zablokování přístupu z vaší IP adresy na tyto servery.
Zda je váš počítač infikován červem RunFtp poznáte snadno - stačí se podívat do složky C:\Windows\System a pokud zde najdete další složku System obsahující soubory Microsoft Internet Explorer.hta, MSIE.HTA a MSIE.EXE, je téměř stoprocentní, že máte tohoto červa v systému.
W32.WinExt
Paměťově rezidentní červ, kterého můžete dostat e-mailem jako přílohu TRYIT.EXE. Samotná zpráva může obsahovat některý z následujících textů:
- Hi, See you soon
- Salut. A+.
- A bientot
- J'ai bien retu ton message, je m'en occupe rapidement. En attendant, regardes le fichier joint.
Po spuštění přiloženého souboru se W32.WinExt usadí v paměti a každou hodinu kontroluje nepřečtené e-mailové zprávy, na které automaticky odpovídá výše zmíněným e-mailem.
Tolik tedy pro tento týden z virové scény. Buďte opatrní a nezapomeňte pravidelně kontrolovat svůj počítač kvalitním antivirovým programem. Ušetříte si tak mnohá nepříjemná překvapení.
|
