VirovΘ novinky (╚ervenec/Srpen 2000)

╚ervenec/Srpen 2000

Obdobφ prßzdnin bylo jako v₧dy ve virovΘm sv∞t∞ o n∞co klidn∞jÜφ. I tak se toho za dva m∞sφce seÜlo po₧ehnan∞.

Na zaΦßtek bych se zmφnil o Φervu Dilber. Jako v∞tÜina ostatnφch se Üφ°φ prost°ednictvφm elektronickΘ poÜty s vyu₧itφm aplikace MS Outlook. T∞lo e-mailu obsahuje text "Received your mail, and will send you a reply ASAP. Until then, check out this funny Dilbert Dance (attached)" a p°φlohu tvo°φ soubor "dilbertdance.jpg.exe". Dilber je zajφmav² p°edevÜφm tφm, ₧e s sebou "vlßΦφ" dalÜφch p∞t (!) vir∙, kterΘ v pr∙b∞hu m∞sφce vypouÜtφ do systΘmu. Jde o viry: Win32/Bolzano, Win95/CIH, VBS/FreeLink, Win95/SK, Win32/AOC.

V pr∙b∞hu Φervence byl ohlßÜen prvnφ makrovirus pro AutoCAD 2000. Makrovirus dostal jmΘno Star. Star je velice primitivnφ, m∞°φ okolo 572 bajt∙ (21 °ßdk∙ k≤du). V praxi nejde o ₧ßdn² zßva₧n² problΘm i kdy₧ n∞kterΘ antivirovΘ firmy z toho d∞lajφ velkou afΘru. Na konci t∞la makroviru Star je viditeln² tento text:

'[Autocad2k\Star]
'[A.s.T]
'Big Greetz to some0ne really special
'"You`ll always be a star in my sky"

V prvnφm t²dnu srpna se pak uskuteΦnila v²znamnß udßlost - v Brn∞ se po°ßdal VX-meeting, tj. setkßnφ lidφ z celΘ evropy, kte°φ programujφ viry. Jak °φkal Benny (hlavnφ organizßtor akce, ₧ijφcφ v Brn∞), pozval p°es dvacet lidφ z ciziny. Nakonec vÜak dorazil pouze GriYo ze èpan∞lska a Gigabyte z Belgie. Z Φesk²ch zßstupc∙ pak dorazil p°edevÜφm Prizzy (podobn∞ jako Benny Φlen Üpan∞lskΘ skupiny 29A), Mort (Matrix) a Ratter. GriYo je autorem n∞kolika kvalitnφch vir∙ p°edevÜφm pro Windows. Pat°φ mu prvenstvφ nap°φklad p°i tvorb∞ naprosto prvnφho polymorfnφho viru pro Windows 9x - HPS. Naopak "Gigabajtka" je jedinß aktivn∞ p∙sobφcφ autorKA vir∙, vesm∞s jde o VBScripty. Vzhledem k tomu, ₧e jsem na sraz dorazil a₧ v pßtek, za dobu mΘ nep°φtomnosti se toho hodn∞ odehrßlo. Velice m∞ zaujalo Bennyho poΦφnßnφ, kdy₧ nemohl na pra₧skΘm letiÜti najφt GriYa, kter² p°ilet∞l ze èpan∞lska. Benny proto po₧ßdal personßl letiÜt∞, aby ho vyvolali rozhlasem. Muselo to znφt skv∞le, kdy₧ se po letiÜti oz²vala p°ezdφvka GriYo. Ve Φtvrtek pak ΦlenovΘ VX-meetingu rozlepili letßky s nßpisem "GriYosoft" po celΘm Brn∞. Krom∞ toho na nich byly jmΘna vÜech z∙Φastn∞n²ch (figuravala tam i mß p°ezdφvka IGI s dodatkem /AV). Pozornosti neunikla ani budova spoleΦnosti Grisoft (v²robce antiviru AVG), kde bylo t∞chto letßk∙ rozlepeno hned n∞kolik. Navφc se p°ed budovou Grisoftu vÜichni p°φtomnφ navzßjem delÜφ dobu fotili. Äivotnost letßk∙ byla vÜak v tΘto oblasti velice krßtkß, po mΘm p°φjezdu jich moc nez∙stalo. Jinak byl dennφ program zcela jednoduch², typu "z hospody do hospody". VX-meeting byl ukonΦen v ned∞li, ale ne na dlouho, dalÜφ se toti₧ konal za n∞kolik dnφ v HolandskΘm Amsterdamu...

V polovin∞ srpna se objevil Φerv VBS/LoveLetter.BD, co₧ je novß varianta populßrnφho Φerva I_Love_You. Do pop°edφ se dostala hlavn∞ dφky tomu, ₧e se sna₧φ zφskat data od èv²ΦarskΘ banky UBS. V praxi nic zßva₧nΘho. Snad jen dodßm, ₧e se Üφ°φ prost°ednictvφm el. poÜty v souboru RESUME.TXT.VBS.

Konec srpna p°inesl hned n∞kolik novinek. Tou prvnφ je virus/Φerv/backdoor MTX. Pokud budeme o MTX mluvit jako o viru, jednß se o Win32 virus. Znamenß to, ₧e se dokß₧e Üφ°it pod operaΦnφm systΘmem Windows 9x/NT/2000. Pou₧φvß techniku EPO (Entry Point Obscuring), co₧ znaΦn∞ st∞₧uje detekci tohoto viru v PE EXE souboru (jde o to, ₧e t∞lo viru je volßno a₧ b∞hem chodu p∙vodnφho programu). SpoleΦn∞ s sebou si MTX jeÜt∞ "vleΦe" Φerva a "backdoora". Ob∞ tyto Φßsti jsou zkomprimovßny. Po spuÜt∞nφ infikovanΘho PE EXE souboru dochßzφ k zabydlenφ viru v systΘmu. Virus vypustφ Φßsti pat°φcφ backdooru a Φervu. Princip zavedenφ Φerva je velice podobn² jako v p°φpad∞ Happy99 (tj. vÜe se motß okolo souboru WSOCK32.DLL). V p°φpad∞ backdooru je vyu₧it osv∞dΦen² klφΦ v registrech - HKLM\Software\Microsoft\Windows\CurrentVersion\Run, kter² zajistφ automatickΘ spuÜt∞nφ backdooru p°i ka₧dΘm startu Windows (pomoci programu typu Backdoor je mo₧nΘ poΦφtaΦ ovlßdat na dßlku, p°es sφ¥). DalÜφ zajφmavostφ je, ₧e MTX se sna₧φ zablokovat p°φstup k n∞kter²m URL adresßm, mezi nimi₧ fugurujφ i n∞kterΘ antivirovΘ strßnky. Podobnß v∞c se t²kß i n∞kter²ch e-mailov²ch adres.

Poslednφ p°φsp∞vek se t²kß mobilnφch telefon∙ Nokia:
Na n∞kter²ch serverech se objevila zprßva o novΘm viru, kter² ·toΦφ na mobilnφ telefony. Hned na zaΦßtek bych rßd °ekl, ₧e oznaΦenφ "virus" je v tomto p°φpad∞ dosti nesprßvnΘ. Tento "virus", jak se n∞kde pφÜe, dostal jmΘno Frozeno a ve v∞tÜφ mφ°e ·dajn∞ Ükodil v Norsku. Ve skuteΦnosti vÜak jde o "zprßvu", kterß se posφlß p°es rozhranφ OTA (over-the-air). Tato "zprßva" obsahuje takov² k≤d, se kter²m si nedokß₧ou n∞kterΘ mobilnφ telefony znaΦky Nokia poradit. To mß za nßsledek zablokovßnφ mobilnφho telefonu. K odblokovßnφ je ·dajn∞ pot°eba vyndat baterii. P°ipomφnßm, ₧e rozhranφ OTA slou₧φ p°edevÜφm k posφlßnφ nov²ch melodiφ, pop°. grafick²ch obrßzk∙, co₧ je specialita prßv∞ mobilnφch telefon∙ Nokia.

Nashledanou p°φÜt∞ !

P°ipravil Igor Hßk (igi@wo.cz), Igiho strßnka o virech: www.viry.cz.