|
|
| 3.10.2002 - Strašidlo |
Ne, nezbláznil jsem se, ani jsem tuto stránku nepředělal na encyklopedii nejrůznějších příšerek. Pouze se snažím popsat jednoho z poměrně "povedených" internetových červíků (v originále Bugbear, tedy Strašidlo), který se začíná raketově šířit, a svým chováním trochu vybočuje z řady ostatních červů. Například deaktivuje antivirové programy, firewally a také nainstaluje poměrně důmyslná zadní vrátka do napadeného počítače. Bližší informace v článku.
Základní informace o viru
Jak jsem již řekl, tento virus je opravdovým strašákem asi pro každého svědomitého správce, a nejej pro něj. Označujeme jej jako I-Worm/Keywo, nebo také W32.Bugbear@mm, záleží na antivirovém programu. My mu ale budeme říkat Strašidlo.
Šíření
Téměř jako obvykle. Do schránky Vám příjde docela nevinně vyhlížející e-mail s náhodným předmětem a textem. Nenechte se uchlácholit tvrzením, že virus chodí jen s cizajazyčnými texty. Mě přišel i v česky psaném e-mailu. Je vidět, že si vybírá náhodné texty z e-mailových zpráv v napadeném počítači.
Jako odesílatel může být osobá Vám důvěrně známá, či jen někdo, kdo Vás má v adresáři. Podle symantecu si virus v registrech počítače načte defaultní nastavení Vašeho e-mailu, Vás SMTP server a s těmito údaji využije vlastní smtp rozhrani pro rozesílání, ale mě již přišel i e-mail se smyšlenou adresou, takže je možné, že se šíří vice mutací.
Instalace
Virus se nahraje do adresáře system, či system32 (podle verze Windows) a provede záznamy v registru pro automatické spuštění. Jméno souboru je náhodné a velikost kolísá okolo 50 KB.
Virus se také umí z již napadeného počítače dostat do síťového okolí, tedy pokud tam má přístup. Takže pozor. Nahraje se totiž do adresáře Po spuštění a za pár hodin tak může být v celé síti.
Destrukční činnost
Opravdu zajímavá. Ihned po spuštění se snaží vyhledat v seznamu běžících procesů nejpoužívanější firewally a antivirové programy a deaktivovat je. Takto se chová v pravidelných intervalech, takže i když firewall znovu nastartujete, za chvíli je opět dole. Kupodivu si poradí i s českými produkty, takže neusněte na vavřínech. Kompletní seznam procesů, které umí ukončit, si můžete přečíst po kliknutí na odkaz na konci článku.
Dále do systému nainstaluje poměrně důmyslná zadní vrátka. Poznáte je podle otevřeného portu 36794. Pokud se na napadený počítač útočník napojí tak může:
- mazat soubory
- ukončovat a spouštět programy
- provádět výpis spuštěných aplikací a doručovat tento výpis útočníkovi
- zachytávat stisknuté klávesy, což může vézt i k vyzrazení přihlašovacích údajů
- vyhledávat informace, jako:
- jméno uživatele
- seznam disků, a to i sdílených
- pokud běží na Win9X, tak i hesla přávě přihlášeného uživatele.
Možností je ještě mnohem více, ale tyto jsou asi nejdůležitější.
Odstranění červa
Není tak jednoduché, protože se musí počítat s šířením přes síť. Pokud je Váš počítač "o samotě", tak je situace mnohem jedodušší. Prostě si stačí stáhnout léčící utilitu od společnosti Grisoft, spustit a nejchat ji pracovat a léčit.
Pokud jste spojeni sítí, tak se doporučuje spustit počítač v nouzovém režimu, nebo jej od sítě odpojit a postupovat obdobným způsobem. Pozor ale na jednu věc. Do sítě počítač připojte až tehdy, když budou odvirovány i ostatní počítače v síti. Lehce by se totiž mohlo stát, že by se strašidlo náhrálo od sousedního počítače a po příšním restartu byste byly tam, kde před vyléčením.
Jinak kompletní informace si můžete přečíst na této stránce.
Pokud chcete být v bezpečí, doporučuji updatovat definiční soubory svého antivirového programu. Většina antivirových společností již na výskyt tohoto viru zareagovala. Třeba společnost Grisoft vydala mimořádnou aktualizaci.
To je zatím vše. Nenechte se vystrašit.
Admin AF
|
|
Příspěvky ke článku:
|
| Novinka |
| Startuje náš vlastní projekt na vydávání elektronických certifikátů. |
| Reklama |
| Reklama na Access Forbidden - Info |
|
