VirovΘ novinky (Kv∞ten/╚erven 2000)

Kv∞ten/╚erven 2000

Toto vydßnφ virov²ch novinek jsem pojal trochu jinak. Rozhodl jsem se do nich zahrnout i n∞co jinΘho, p°esn∞ji n∞co äz druhΘ stranyô, tedy o antivirov²ch novinkßch.

Katastrofa se jmΘnem ILoveYou je ji₧ za nßmi, ale zanechala po sob∞ celkem p∞knΘ nßsledky. Krom∞ Ükod, se toti₧ Φerv ILoveYou postaral o to, ₧e programovacφ jazyk, ve kterΘm je naprogramovßn, tedy Visual Basic se stal velice populßrnφm. Ji₧ b∞hem n∞kolika hodin od objevenφ Φerva ILoveYou se zaΦaly objevovat novΘ, drobn∞ se liÜφcφ varianty. Je to zp∙sobeno tφm, ₧e Visual Basic Script se nachßzφ ve zcela obyΦejnΘm textovΘm souboru (podobn∞ jako dßvkovΘ BAT soubory) a osoba, kterß chce Φerva pozm∞nit, nemusφ pou₧φvat ₧ßdnΘ kompilßtory, ale vystaΦφ si nap°φklad s obyΦejn²m äpoznßmkov²m blokem". V tΘto chvφli se vyskytuje n∞kolik desφtek variant Φerva ILoveYou, antivirovΘ programy je oznaΦujφ nejΦast∞ji jako VBS/LoveLetter.B, VBS/LoveLetter.C, .D, .E a₧ Z. Pak nßsledujou dalÜφ s pφsmeny VBS/LoveLetter.AA, .AB, .AC atd. Zajφmav² p°φpad vznikl, kdy₧ jeden Φlov∞k na serveru www.builder.cz uve°ejnil okomentovan² zdrojov² k≤d Φerva VBS/LoveLetter. Ten byl nakonec na nßvrh antivirov²ch firem sta₧en, autor komentß°e toti₧ netuÜil, ₧e dφky jeho komentß°∙m vytvo°il novou variantu Φerva ! Pokud se Φerv odliÜuje od svΘho vzoru ILoveYou vφce, zaslou₧φ si novΘ jmΘno.

P°φkladem m∙₧e b²t Φerv VBS/NewLove, kter² se objevil p°ibli₧n∞ v polovin∞ kv∞tna. NewLove se Üφ°φ prost°ednictvφm soubor∙, kterΘ p°ipojuje k odesφlanΘ poÜt∞. Subjekt zprßvy ani nßzev p°ipojenΘho souboru nemß stßlou podobu. ╚erv toti₧ generuje subjekt zprßvy podle nßzvu soubor∙ v adresß°i Windows\Recent. Pokud se tam ₧ßdn² soubor nevyskytuje, Φerv generuje nßzev souboru a subjekt zcela nßhodn∞. V∞tÜinou tak vznikne sm∞s znak∙, kterΘ nedßvajφ ₧ßdn² smysl. ZaΦßtek subjektu obsahuje v₧dy zkratku "FW:" a na konci je p°ipojena jedna z t∞chto p°φpon: Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm, Txt. P°ipojen² soubor mß stejn² nßzev jako obsah subjektu, je vÜak odstran∞n zaΦßtek "FW:" a na konci naopak p°idanß p°φpona ".VBS". Pro chod VBS Φerva je jako ve vÜech ostatnφch p°φpadech nutnß podpora VBScript∙ ze strany Windows - Windows Scripting Host. K dalÜφmu Üφ°enφ pak pot°ebuje klienta MS Outlook z jeho₧ äknihy adresô zφskßvß e-mail adresy dalÜφch ob∞tφ, ke kter²m ihned odesφlß svoji kopii. Pokud pou₧φvßte jinΘho poÜtovnφho klienta, Φerv se nedokß₧e Üφ°it, ale o jeho destruktivnφ akci nep°ijdete. Na vÜech dostupn²ch discφch toti₧ VBS/NewLove p°episuje vÜechny soubory tak, ₧e jejich obsah je nenßvratn∞ ztracen. ╚erv VBS/NewLove se sna₧φ b²t polymorfnφ. Svoje t∞lo toti₧ v ka₧dΘ generaci postupn∞ proklßdß n∞kolika °ßdky nesmysl∙. Dφky tomu je t∞lo Φerva stßle v∞tÜφ a ka₧dß dalÜφ generace je p°ibli₧n∞ o 60% v∞tÜφ ne₧ ta p°edchozφ. ╚erv VBS/NewLove zp∙sobil obrovsk² rozruch, i kdy₧ se ve skuteΦnosti nejednalo o nic hroznΘho.

Jeden z °ady Φerv∙ z°ejm∞ doÜel i do Microsoftu - tato spoleΦnost toti₧ zaΦala po 1,5 letech (!!) od objevenφ jednoho z prvnφch Φerv∙ (Happy99) vyvφjet ochranu proti zneu₧itφ e-mailovΘho klienta MS Outlook. Myslφm, ₧e to p°iÜlo hodn∞ pozd∞ a navφc je vydan² upgrade pro MS Outlook terΦem kritiky. La¥ka byla nastavena a₧ p°φliÜ vysoko, a n∞kterΘ u₧ivatele produktu MS Outlook m∙₧e upgrade a₧ p°φliÜ omezovat. VBS Φervi ovlivnili i v²voj n∞kter²ch antivir∙. Kolem 10.5.2000 se u slovenskΘho antiviru NOD (www.eset.sk) objevila z°ejm∞ prvnφ heuristickß anal²za na hledßnφ neznßm²ch VBScriptov²ch Φerv∙. Pravd∞podobn∞ ve stejn² den vznikl i specißlnφ filtr AVP Script Checker (www.avp.ru), kter² je jakousi spojkou mezi aplikacφ vyu₧φvajφcφ VBScripty a ämotoremô, kter² je zpracovßvß. V p°φpad∞ Windows je tφmto motorem WSH (Windows Scripting Host). Dφky dostupnosti °ady VBS Φerv∙ mohu jen potvrdit, ₧e oba antiviry fungujφ spolehliv∞. Abych nez∙stal jen u antivir∙ NOD a AVP, posunu se dop°edu. O n∞kolik dn∙ pozd∞ji toti₧ vydala spoleΦnost Alwil - www.asw.cz (antivirus AVAST) univerzßlnφ antivirovou kontrolu elektronickΘ poÜty. Ta pracuje prakticky s libovoln²m e-mailov²m klientem. Princip je velice jednoduch², za to vÜak velice ·Φinn². AVAST tvo°φ v tomto p°φpad∞ ämostô mezi e-mailov²m klientem a poskytovatelem p°ipojenφ. IP adresy SMTP a POP3 serveru v nastavenφ klienta toti₧ ukazujφ na modul pro kontrolu elektronickΘ poÜty AVAST, kter² obsahuje IP adresy skuteΦn²ch SMTP a POP3 server∙ na stran∞ poskytovatele p°ipojenφ. Kontrolu elektronickΘ poÜty od Alwilu lze tak pou₧φt prakticky v libovolnΘm e-mailovΘm klientu. Jinou a daleko obtφ₧n∞jÜφ cestou se vydala brn∞nskß spoleΦnost Grisoft, v²robce antiviru AVG. Ta ve stejnou dobu vypustila modul pro testovßnφ p°φchozφ a odchozφ poÜty v produktu MS Outlook Express 5. Prßce na tomto modulu probφhaly ji₧ velice dlouhou dobu a problΘmy (zp∙sobenΘ p°edevÜφm ze strany Outlook Expressu) p°etrvßvajφ dodnes. Podporu starÜφch / nov∞jÜφch OE nebude Grisoft podobn²m zp∙sobem zajiÜ¥ovat. Grisoft toti₧ plßnuje univerzßlnφ modul pro kontrolu elektronickΘ poÜty. Bude to z°ejm∞ n∞co podobnΘho jako v p°φpad∞ AVAST.

Op∞t bych se vrßtil k problematice vir∙, tentokrßt mezi tzv. äpsychologickΘ viryô - Hoaxy. Hoax je ve skuteΦnosti pouze e-mail, kter² obsahuje nesmysln² text, informujφcφ nezkuÜenΘ u₧ivatele o neexistujφcφm viru, kter² podpaluje monitor, vyrß₧φ pojistky, Φi dokonce zabφjφ u₧ivatele. Na jeho konci je v∞tÜinou text, kter² nabßdß u₧ivatele, aby e-mail poslal dßle. Najde se v₧dy hodn∞ lidφ, kte°φ to uposlechnou (i kdy₧ jde o ·pln² nesmysl) a obsah tohoto e-mailu poÜlou sv²m kamarßd∙m a znßm²m. Hoax se tak obΦas Üφ°φ rychleji ne₧ skuteΦn² virus. V polovin∞ kv∞tna se jeden takov² hoax zaΦal Üφ°it i na ·zemφ ╚eskΘ republiky. Informoval o neexistujφcφm viru OnlyForYou (zdroj inspirace je jasn² - ILoveYou), kter² ·dajn∞ provßdφ °adu zajφmav²ch v∞cφ. Nutno podotknout, ₧e informace v tomto hoaxu vypadaly celkem reßln∞, popisovan² virus by mohl opravdu ve skuteΦnosti vzniknout.

Na konci kv∞tna se pak objevil vcelku nezajφmav² makrovirus O97M/Cybernet, kter² vyzvedla p°edevÜφm n∞kterß tiskovß prohlßÜenφ antivirov²ch firem. Ve skuteΦnosti nejde prakticky o nic. Pro b∞₧nΘho u₧ivatele je to jen ädalÜφ virus k niΦemuô. Cybernet se Üφ°φ v dokumentech MS Wordu (DOC) a v tabulkßch Excelu (XLS). Krom∞ toho, ₧e se stßle äohßnφô n∞jak²mi texty, tak jeÜt∞ 17. srpna a 25. prosince formßtuje disk. To je z°ejm∞ d∙vod, proΦ z tohoto makroviru ud∞lalo n∞kolik antivirov²ch spoleΦnostφ afΘru typu äjen nßÜ antivirus dokß₧e tenhle zßke°n² makrovirus odhalit" (a penφze se hrnou...).

N∞co podobnΘho nastalo i po objevenφ makroviru W97M/Melissa.BG (W97M/Resume.A) o n∞kolik dnφ pozd∞ji. Jako vÜechny Melissy se i tahle Üφ°φ v dokumentech Wordu, ale to i cestou elektronickΘ poÜty. W97M/Melissa.BG po sob∞ zanechßvß mnoho Ükod, ma₧e toti₧ disky od A: a₧ po Z:.

4. Φervna se ukßzalo, ₧e ani ΦeÜtφ auto°i vir∙ nespφ na vav°φnech. Prizzy, ╚ech ve slu₧bßch Üpan∞lskΘ virovΘ skupiny 29A toti₧ zve°ejnil sv∙j nov² virus Win32/Dream. Jednalo se o jeho t°etφ virus v po°adφ a jako obvykle Ülo o technickou älah∙dkuô - tzv. High-Tech virus. Virus Win32/Dream napadß PE EXE soubory, ale vklßdß se i do soubor∙ s nßpov∞dou Windows (HLP). ╚ßsti viru äb∞hajφô v n∞kolika procesech (celkem 7) a vyu₧φvß se tzv. äInterprocess Communication (IPC)ô. V praxi se s nφm z°ejm∞ nesetkßte, osoba, kterß si °φkß Prizzy toti₧ nenφ typ, kter² by viry n∞jak ·mysln∞ Üφ°il. Tuto äÜpinavou prßciô toti₧ za n∞j ud∞lß v₧dy n∞kdo jin², v∞tÜinou ten, kdo narazφ na Prizzyho web strßnku a na jeho sekci äDownloadô.

N∞jak² èpan∞l se z°ejm∞ nechal inspirovat populßrnφm Φervem VBS/LoveLetter, dφky kterΘmu vznikl zajφmav² Φerv Timofonica:
Je op∞t napsßn ve VBScriptu. Zp∙sob Üφ°enφ je jasn², Φerv k nßm p°φjde v e-mail zprßv∞ se subjektem: "TIMOFONICA". T∞lo zprßvy obsahuje n∞jakΘ texty ve Üpan∞lÜtin∞ a v p°φloze se nachßzφ soubor TIMOFONICA.TXT.vbs. Po spuÜt∞nφ jmenovanΘho souboru se Φerv sna₧φ odeslat svoji kopii na dalÜφ e-mail adresy v äknize adresô aplikace MS Outlook. Krom∞ toho odesφlß Φerv Timofonica dalÜφ zprßvy na adresu {nßhodnΘ_Φφslo}@correo.movistar.net, co₧ mß za nßsledek, ₧e n∞kte°φ majitelΘ mobilnφch telefon∙ od spoleΦnosti MoviStar obdr₧φ z°ejm∞ SMS zprßvu s tφmto obsahem: "informa que: Telef≤nica te est! engaßando". Doufejme, ₧e se nedoΦkßme ΦeskΘ mutace, kterß by SMS zprßvy posφlala na xxx@sms.paegas.cz Φi xxx@sms.eurotel.cz. Do jednoho populßrnφho klφΦe v registrech jeÜt∞ uklßdß odkaz na soubor CMOS.COM, kter² se po nßsledujφcφm restartu poΦφtaΦe postarß o p°emazßnφ pam∞ti CMOS.
U nßs se s nφm pravd∞podobn∞ nesetkßte.

V ·ter² 13.6. se stala velice zajφmavß udßlost. Na slovenskΘ televizi Markφza se dokonce objevil p°φsp∞vek (v hlavnφ zpravodajskΘ relaci !), ₧e se p°es slovenskΘ hranice n∞kdo pokouÜel paÜovat cΘdΘΦka s antivirov²m programem AVG za 11 000 000 Sk !!! Jak se pozd∞ji ukßzalo, uvedenΘ Φislo je nesmyslnΘ. TomßÜ Hofer, pracovnφk spoleΦnosti Grisoft, kterß antivirus AVG vyrßbφ, mimo jinΘ uvedl: "Pracovnice slovenskΘ poboΦky naÜich dodavatel∙ m∞la CD-ROM vylo₧it v Brn∞, co₧ neuΦinila a pokraΦovala v cest∞ na Slovensko. Na slovenskych hranicich vsak byla CD AVG samozrejme odhalena a zabavena.". Dßle pak: "Tato CD-ROM neobsahujφ samoz°ejm∞ ₧ßdnΘ sΘriovΘ Φφslo, tak₧e spustit z nich lze jen tak maximßln∞ TRIAL verzi nebo aktualizovat stßvajφcφ instalaci, tak₧e Ükoda by mohla b²t jen v °ßdu n∞kolika desφtek tisφc, ale to nenφ v tuto chvφli d∙le₧itΘ".

Jako by t∞ch Φerv∙ nebylo dost ! Ke konci Φervna se toti₧ objevil dalÜφ: VBS/Stages. Tentokrßt jen struΦn∞:
Infikovanß e-mail zprßva vypadß nßsledovn∞:

Subjekt slo₧en ze t°φ sekcφ:

T∞lo neobsahuje nic, nebo:

P°φloha, soubor: LIFE_STAGES.TXT.SHS

JistΘ ·sp∞chy zaznamenal i na ·zemφ ╚eskΘ republiky, co₧ je taky jedin² d∙vod, proΦ o n∞m pφÜi.

To je pro toto vydßnφ vÜe, nashledanou p°φÜt∞ !

P°ipravil Igor Hßk (igi@wo.cz), Igiho strßnka o virech: www.viry.cz.