Říjen 1999
Z pohledu virů se stal říjen celkem bohatým měsícem. Objevil se nový typ makroviru pro Microsoft Project a první virus pro operační systém WinNT, v němž sídlí jako "system driver".WinNT/Infis
Paměťově rezidentní virus pro Windows NT. Infis je prvním virem, který se do systému WinNT instaluje ve formě SYS driveru (soubor INF.SYS v adresáři \WinNT\System32\Drivers). Jinak se jedná o běžný virus, který napadá PE EXE soubory. Po spuštění infikovaného PE EXE souboru dochází k infekci systému. Virus Infis vypustí zmiňovaný SYS driver - INF.SYS a modifikuje registry tak, aby se spouštěl po každém restartu Windows. K infekci dalších PE EXE souborů dochází při jejich otevírání. Proces infekce je však kamenem úrazu tohoto a mnoha dalších virů - výsledkem může být zníčený PE EXE soubor. Infis neobsahuje žádnou destrukční akci (pokud nepočítám některé poškozené soubory).Win32/BadAss
BadAss je jedním ze dvou červů (worms), o nichž se budu v tomto vydání zmiňovat. BadAss se šíří mezi uživateli pouze jednou cestou - ve formě souboru, který je připojen k emailové zprávě. Virus je napsán v jazyce VisualBasic, což umožnilo autoru využít části kódu makroviru W97M/Melissa. Nutnou podmínkou pro šíření je přítomnost aplikace Microsoft Outlook. Název e-mailové zprávy, která obsahuje červa BadAss má název "Moguh.." a obsahuje text "Dit is wel grappig! :-)". V příloze se pak nachází většinou infikovaný soubor BADASS.EXE (po přejmenování tohoto souboru se může šířit i pod jiným jménem). Po spuštění zmiňovaného souboru se zobrazí dvě okna s vtipným obsahem a pak již odešle svoji kopii dalším kandidátům, které najde v knize adres aplikace Microsoft Outlook. Při zobrazení prvního okna s vtipnou poznámkou ("An error has occured probably because your cunt smells bad. Is this really so?") neumožňuje stisknout tlačitko "NO", které "uskakuje" při přiblížení kurzoru myši dostran. Nakonec se tedy musíte přiznat, "že smrdíte" a stisknout tlačítko "YES". Druhé okno obsahuje zprávu "Contact your local supermarket for toiletpaper and soap to solve this problem.". BadAss se nijak jinak viditelně neprojevuje.Win32/Anaphylaxis (Anap)
Anap je druhý z popisovaných červů. Soubor v příloze emailové zprávy se tentokrát jmenuje SETUP.EXE. Po spuštění tohoto souboru začne Anap hledat e-mailové adresy dalších osob. Svoji kopii odesílá maximálně 10 lidem zároveň. Pole "Od:" je náhodně vytvořeno z několika jmen, které si nese Anap s sebou. E-mailová adresa, ze které je Anap poslán, je taky vymyšlená. Ve všech pěti případech jde o adresy významných firem (support@intel.com, support@microsoft.com atd.). Subjektem zprávy je slovo "Patch" a textem "This is the patch you asked for.". Po spuštění souboru SETUP.EXE se zobrazí zpráva "Integrity check failed due to: bad data transmision or bad disk access", která maskuje činnost červa. V pátém dni každého měsíce vypisuje zprávu:i-worm.Anaphylaxis coded by Bumblebee/29a
.This is an i-worm. Don't worry, this is not a virus. But may occur the
worm has been infected by a virus during its travel and both arrived to
your computer.
The way of the bee
Win32/Oporto
Paměťově rezidentní virus pro Windows, který napadá spustitelné PE EXE soubory. Při infekci takového souboru zvětši velikost jeho poslední sekce a upraví potřebné údaje v hlavičce souboru tak, aby nad ním včas převzal kontrolu. Jistou zajímavostí je, že virus Oporto nemodifikuje vstupní bod (entry point), ale využívá svoji rutinu s odskokem na tělo viru. Vhodné hostitele pro infekci hledá v aktuálním adresáří, v adresáři Windows a Windows\System. Paměťová rezidentnost viru závísí na hostitelském programu. Pokud je totiž hostitelský program vypnut, končí i paměťová rezidentnost viru. Navíc dokáže virus Oporto přesměrovat jen ty funkce Windows (celkem jich může být 15), které používá hostitelský program. Oporto maže soubory ANTI-VIR.DAT a 24.9 zobrazí zprávu, potom zablokuje systém:TOTILIX Presents... This >TOTILIX< Virus was assembled at the city of Oporto Portugal! gas_par@hotmail.com (c) 1999 G@SP@R aka Sexus
P98M/Corner
Druhou významnou novinkou je právě tento makrovirus. Jedná se totiž o první makrovirus, který napadá projekty aplikace Microsoft Project. Navíc dokáže infikovat i dokumenty Wordu 97/2000. Šíření v obou aplikacích podporuje především společný jazyk VBA. Makrovirus Corner využívá techniku "class" (tj. svoje tělo ukládá do modulu ThisDocument) a svoje aktivity provádí zásadně při uzavírání infikovaného dokumentu. Techniku "class" používá i při infekci projektu (zde se modul jmenuje ThisProject). Celkově nejde o nic nebezpečného - je to pouze důkaz, že makroviry se mohou šířit téměř pod čímkoliv...Win32.Champ
Paměťově nerezidentní polymorfní virus pro Windows (infikuje PE EXE). Win32.Champ je "odfláknutý" virus. Infekční rutina obsahuje řadu chyb, které se podepisou na stavu infikovaných souborů (ty jsou ve většině případů zníčeny). Zřejmě to autorovi nestačilo a tak obohatil virus o další nepříjemnou činnost. Na začátku každého druhého měsíce (únor, duben, červen atd.) totiž vytváří 500 souborů s náhodným názvem ve třech adresářích: Windows, Windows\System a v hlavním adresáři. Jistě si dovedete představit ten zmatek.Win32/AutoWorm
Na závěř nesmím zapomenout na "perličku" jakou je tento červ. AutoWorm totiž "zneužívá" schopnosti souboru AUTORUN.INF, z něhož spouští sám sebe (soubor AUTOWORM.EXE). Po spuštění tohoto souboru může při troše štěstí dojít třeba k infekci diskety (červ se totiž pokouší vytvořit soubory AUTORUN.INF a AUTOWORM.EXE na všech discích) apod.Autor: Igor Hák (Igi)
Další informace na Igiho stránce o virech - http://best.site.cz/igi