Červi - detaily

Některé speciality

  • Příloha e-mailu tvořena souborem s „dvojitou příponou“. Někteří červi se k e-mailu připojí v souboru, jehož celý název vypadá následovně: {název}.{1.přípona}.{2.přípona}. Při nesprávném nastavení Windows může uživatel vidět jen {název}.{1.přípona}. V praxi se tak může soubor PamelaAnderson.jpg.exe jevit jako PamelaAnderson.jpg, což zní dosti lákavě (JPG je formát obrázku). Náprava je jednoduchá, stačí pouze z vhodných klíčů ve větvi HKEY_CLASSES_ROOT (mluvím o registrech) odstranit položky s názvem NeverShowExt.
  • Červ je přímo součástí zprávy – není potřeba žádného souboru v příloze. Nutnou podmínkou pro úspěšné šíření těchto červů je existence poštovních klientů, které dokážou poštu přijímat v HTML formátu. S příchodem HTML do poštovních klientů jsou sice zprávy mnohdy hezčí (obrázky na pozadí, barevné písmena…), ale otevřelo to i dveře červům. Příkladem může být JS/Kakworm, který vkládá svoje „tělo“ přímo do HTML kódu zprávy ve formě JavaScriptu. Červ se aktivuje pouhým otevřením infikované zprávy !!! (k otevření dochází v MS Outlooku i v případě, že si chceme zprávu přečíst).
  • Upgrade červa prostřednictvím Internetu. Ještě před nedávnem se obvykle aktualizovaly pouze antivirové programy. To už však neplatí, jelikož tu máme kupříkladu červa I-Worm/Hybris, který sám sebe aktualizuje prostřednictvím Internetu ! Během svého šíření tak může být neustále vylepšován samotným autorem této bestie. Pro jistotu jsou tyto „plug-iny“ – „vsuvky“ pro červa podepsány elektronickým podpisem, díky čemuž Hybris „sežere“ pouze to, co mu udělá dobře :)

    Jeden způsob dělení červů:

  • Červi nezávislé na použitém poštovním klientu.
  • Červi závislé na použitém poštovním klientu.

    První skupinu zastupuje například červ I-Worm/Haiku, který kromě skládání veršů hledá emailové adresy dalších obětí v některých souborech po celém disku. Na získané emailové adresy pak hromadně, za podpory SMTP serveru někde ve světě, odesílá svoje kopie (tj. soubor haiku.exe, který tvoří attachment - přílohu emailové zprávy). Červ I-Worm/Happy99 (alias Ska) pro změnu modifikuje soubor WSOCK32.DLL tak, aby se při volání služeb Connect a Send aktivoval kód červa, který připojí svoje tělo k odesílanému emailu.
    Na rozhraní mezi obě skupiny patří kupříkladu mladý Win32/Magistr, který je kombinací červa a viru. E-mailové adresy „bere“ od některých poštovních klientů, zatímco k odesílání infikovaných zpráv je vůbec nepotřebuje.
    Do druhé skupiny pak patří především všechny typy makrovirů, které jsou založeny na principech makroviru W97M/Melissa. Některé antiviry přidávají na konec takových makrovirů označení @mm. Patří sem i VBS/LoveLetter, VBS/AnnaKurnikova apod. Tyto lidské výplody jsou závislé především na klientu MS Outlook, který je součástí kancelářského balíku MS Office 97, 2000.

    Červi ve Windows

    Červi se nacházejí v souboru samostatně a nepotřebují žádného hostitele (až na vyjímky). Antivirové programy tak ve většině případů mažou všechny soubory, které si červ pro svůj chod v systému vytvořil. Nevracejí však do původního stavu registry Windows, popřípadě soubory, které červ zmodifikoval tak, aby si zajistil včasnou aktivaci po každém startu operačního systému Windows. Většina červů si zajistí automatické spuštění nejčastěji:

  • pomoci modifikace registrů.
  • pomoci modifikace souboru WIN.INI nebo SYSTEM.INI (v adresáři s instalací Windows).

    K chaosu, kterému se říká "registry", lze přistoupit například pomoci příkazu regedit. Červi mají v oblibě především klíč:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    V něm vytvářejí nové položky s údaji obsahující cestu k souboru, který se pak při každém startu Windows aktivuje. Mezi další využívané klíče patří především:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

    V souboru WIN.INI je občas pod útokem červa řádek RUN= v sekci [WINDOWS].
    Podobně je na tom může být i sekce [BOOT] s řádkem SHELL= v souboru SYSTEM.INI. Za sekvencí znaků RUN= se zpravidla nic nenachází. Pokud ano, může to být známka toho, že na počítači je / byl červ. Nemusí se však vždy jednat o červa, občas tyto možnosti využívají i některé užitečné programy. Za řádkem SHELL= se pak běžně vyskytuje pouze příkaz EXPLORER.EXE. Nakonec bych se mohl zmínit i o klíči HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open
    Jeho modifikací si někteří červi zajistí to, že se aktivují přesně v okamžiku, kdy uživatel spustí nějaký ten EXE soubor. Při léčení je nutné nejprve vrátit jmenovaný klíč do původního stavu "%1" %* a až potom odstranit soubory patřící červu. V opačném případě nebude možné spustit žádný EXE soubor (Windows se budou odkazovat na neexistující soubor červa). Problém je v tom, že i program na úpravu registrů je s příponou EXE (regedit.exe). Není tedy nic jednoduššího, než jeho příponu změnit na COM a červa tak oklamat :-) Příkladem z praxe může být červ I-Worm/PrettyPark, který původní hodnotu "%1" %* jmenovaného klíče upraví na FILES32.VXD "%1" %*

    Odstraňování červů

    Ještě před tím, než se antivirem odmažou infikované soubory, doporučuji odstranit škody v registrech, popřípadě ve WIN.INI či SYSTEM.INI. Tento postup je někdy nutné dodržet. V případě červa PrettyPark se totiž může stát, že díky špatnému postupu, nebude spuštění programu regedit, který je východiskem ze situace, možné. Taky je nutné zjistit, co že to máme z registrů vůbec odstranit. Posloužit můžou některé "Virové encyklopedie", kterých je ve světě Internetu hned několik desítek ( www.viruslist.com, www.sarc.com ). Detailní popisy, i když ne v takovém množství lze najít i v češtině - www.viry.cz, www.asw.cz, www.grisoft.cz. Dalším krokem je záloha stávajících registrů. Je dobré zálohovat soubory C:\WINDOWS\SYSTEM.DAT a C:\WINDOWS\USER.DAT, které se pak budou hodit v případě nezdaru.