VirovΘ novinky (Zß°φ 2000)

Zß°φ 2000

Prßzdniny jsou pryΦ, viry vÜak ne...

Hned na zaΦßtku zß°φ se objevilo spoleΦnΘ dφlo dvou Φesk²ch autor∙, Bennyho a Rattera - virus W2K/Stream. I kdy₧ se nejednß o ₧ßdnΘ reßlnΘ nebezpeΦφ, zp∙sobil virus Stream celkem velik² rozruch. Jde toti₧ o prvnφ virus na sv∞t∞, kter² vyu₧φvß "streamy" (datovΘ proudy) souborovΘho systΘmu NTFS pod Windows 2000. Jeliko₧ pro "Igiho strßnku o virech" (www.viry.cz) napsal Ratter o tΘto problematice Φlßnek, budu Φerpat z jeho zkuÜenostφ:

"Kazdy soubor na NTFS se sklada z takzvanych streamu (datovych proudu). Pokud si vezmeme kuprikladu soubor file.txt, tak na systemech FAT, FAT32 a dalsich, muzeme pouzit jenom tzv. hlavni (nepojmenovany) stream, ktery je definovan prave jmenem souboru. Ale na NTFS muzeme k tomuto hlavnimu streamu priradit dalsi, pojmenovane streamy, jejichz nazev se od jmena souboru oddeluje znakem ':'"

"Po spusteni virus hleda v aktualnim adresari soubory s priponou *.exe, tedy spustitelne soubory. Jakmile nejaky najde, otevre ho, vytvori stream :STR, tam zkopiruje celou obet a sam sebe zkopiruje do hlavniho streamu. Pote soubor zkomprimuje a hleda dalsi. Jakmile skonci proces infikace, virus spusti svou aktualni obet a to sice :STR a pokud vse probehlo v poradku skonci. Podivejme se jak vypada neifikovany a infikovany program."

Ratter jeÜt∞ dodal: "Byli jsem prijemne prekvapeni, jaky ohlas byl v "mediich". Opravdu jsme to necekali. Preci jenom kdyz je komentar vetsi nez samotny kod tak neco opravdu neni v poradku :)".

Virus Stream je sice technickou lah∙dkou, ale v praxi se s nφm z°ejm∞ nikdy nesetkßme. StaΦφ toti₧ infikovan² soubor p°enΘst na jin² souborov² systΘm ne₧ NTFS a stream s p∙vodnφm programem "odpadne". Tφm zφskßme pouze samostatnΘ t∞lo viru (v tomto p°φpad∞ jde zßrove≥ o dropper), kterΘ po spuÜt∞nφ vypφÜe pouze neÜkodnou zprßvu Win2k.Stream by Benny/29A & Ratter This cell has been infected by [Win2k.Stream] virus!, signalizujφcφ chybu.

JeÜt∞ bych se cht∞l zmφnit o Φervu VBS/Funny, kter² se samoz°ejm∞ rozesφlß e-mailem. "Infikovan²" e-mail lze poznat velice jednoduÜe, varianta A vyplnφ subjekt textem "Funny story" a do p°φlohy vlo₧φ soubor FUNNY_STORY.HTM.vbs. Soubor samoz°ejm∞ obsahuje t∞lo tohoto Φerva. Pokud ho u₧ivatel spustφ, Φerv modifikuje v registrech klφΦ HKLM\SOFTWARE\Classes\HTTP\shell\open\command, Φφm₧ se postarß o to, ₧e browser nab∞hne automaticky na strßnku http://www.makeyoulaugh.com. MΘn∞ milou pozornostφ je p°ibalen² trojsk² k∙≥, kter² vykrßdß a odesφlß mailem hesla z poΦφtaΦe (soubory MSTK32.EXE, SSTABL.DLL, HSYS.OCX v \WINDOWS\SYSTEM).

To je pro dneÜek vÜe, nashledanou p°φÜt∞ !

P°ipravil Igor Hßk (igi@wo.cz), Igiho strßnka o virech: www.viry.cz.