╚ervi

N∞kterΘ speciality

  • P°φloha e-mailu tvo°ena souborem s ädvojitou p°φponouô. N∞kte°φ Φervi se k e-mailu p°ipojφ v souboru, jeho₧ cel² nßzev vypadß nßsledovn∞: {nßzev}.{1.p°φpona}.{2.p°φpona}. P°i nesprßvnΘm nastavenφ Windows m∙₧e u₧ivatel vid∞t jen {nßzev}.{1.p°φpona}. V praxi se tak m∙₧e soubor PamelaAnderson.jpg.exe jevit jako PamelaAnderson.jpg, co₧ znφ dosti lßkav∞ (JPG je formßt obrßzku). Nßprava je jednoduchß, staΦφ pouze z vhodn²ch klφΦ∙ ve v∞tvi HKEY_CLASSES_ROOT (mluvφm o registrech) odstranit polo₧ky s nßzvem NeverShowExt.
  • ╚erv je p°φmo souΦßstφ zprßvy û nenφ pot°eba ₧ßdnΘho souboru v p°φloze. Nutnou podmφnkou pro ·sp∞ÜnΘ Üφ°enφ t∞chto Φerv∙ je existence poÜtovnφch klient∙, kterΘ dokß₧ou poÜtu p°ijφmat v HTML formßtu. S p°φchodem HTML do poÜtovnφch klient∙ jsou sice zprßvy mnohdy hezΦφ (obrßzky na pozadφ, barevnΘ pφsmenaà), ale otev°elo to i dve°e Φerv∙m. P°φkladem m∙₧e b²t JS/Kakworm, kter² vklßdß svoje ät∞loô p°φmo do HTML k≤du zprßvy ve form∞ JavaScriptu. ╚erv se aktivuje pouh²m otev°enφm infikovanΘ zprßvy !!! (k otev°enφ dochßzφ v MS Outlooku i v p°φpad∞, ₧e si chceme zprßvu p°eΦφst).
  • Upgrade Φerva prost°ednictvφm Internetu. JeÜt∞ p°ed nedßvnem se obvykle aktualizovaly pouze antivirovΘ programy. To u₧ vÜak neplatφ, jeliko₧ tu mßme kup°φkladu Φerva I-Worm/Hybris, kter² sßm sebe aktualizuje prost°ednictvφm Internetu ! B∞hem svΘho Üφ°enφ tak m∙₧e b²t neustßle vylepÜovßn samotn²m autorem tΘto bestie. Pro jistotu jsou tyto äplug-inyô û ävsuvkyô pro Φerva podepsßny elektronick²m podpisem, dφky Φemu₧ Hybris äse₧ereô pouze to, co mu ud∞lß dob°e :)

    Jeden zp∙sob d∞lenφ Φerv∙:

  • ╚ervi nezßvislΘ na pou₧itΘm poÜtovnφm klientu.
  • ╚ervi zßvislΘ na pou₧itΘm poÜtovnφm klientu.

    Prvnφ skupinu zastupuje nap°φklad Φerv I-Worm/Haiku, kter² krom∞ sklßdßnφ verÜ∙ hledß emailovΘ adresy dalÜφch ob∞tφ v n∞kter²ch souborech po celΘm disku. Na zφskanΘ emailovΘ adresy pak hromadn∞, za podpory SMTP serveru n∞kde ve sv∞t∞, odesφlß svoje kopie (tj. soubor haiku.exe, kter² tvo°φ attachment - p°φlohu emailovΘ zprßvy). ╚erv I-Worm/Happy99 (alias Ska) pro zm∞nu modifikuje soubor WSOCK32.DLL tak, aby se p°i volßnφ slu₧eb Connect a Send aktivoval k≤d Φerva, kter² p°ipojφ svoje t∞lo k odesφlanΘmu emailu.
    Na rozhranφ mezi ob∞ skupiny pat°φ kup°φkladu mlad² Win32/Magistr, kter² je kombinacφ Φerva a viru. E-mailovΘ adresy äbereô od n∞kter²ch poÜtovnφch klient∙, zatφmco k odesφlßnφ infikovan²ch zprßv je v∙bec nepot°ebuje.
    Do druhΘ skupiny pak pat°φ p°edevÜφm vÜechny typy makrovir∙, kterΘ jsou zalo₧eny na principech makroviru W97M/Melissa. N∞kterΘ antiviry p°idßvajφ na konec takov²ch makrovir∙ oznaΦenφ @mm. Pat°φ sem i VBS/LoveLetter, VBS/AnnaKurnikova apod. Tyto lidskΘ v²plody jsou zßvislΘ p°edevÜφm na klientu MS Outlook, kter² je souΦßstφ kancelß°skΘho balφku MS Office 97, 2000.

    ╚ervi ve Windows

    ╚ervi se nachßzejφ v souboru samostatn∞ a nepot°ebujφ ₧ßdnΘho hostitele (a₧ na vyjφmky). AntivirovΘ programy tak ve v∞tÜin∞ p°φpad∙ ma₧ou vÜechny soubory, kterΘ si Φerv pro sv∙j chod v systΘmu vytvo°il. Nevracejφ vÜak do p∙vodnφho stavu registry Windows, pop°φpad∞ soubory, kterΘ Φerv zmodifikoval tak, aby si zajistil vΦasnou aktivaci po ka₧dΘm startu operaΦnφho systΘmu Windows. V∞tÜina Φerv∙ si zajistφ automatickΘ spuÜt∞nφ nejΦast∞ji:

  • pomoci modifikace registr∙.
  • pomoci modifikace souboru WIN.INI nebo SYSTEM.INI (v adresß°i s instalacφ Windows).

    K chaosu, kterΘmu se °φkß "registry", lze p°istoupit nap°φklad pomoci p°φkazu regedit. ╚ervi majφ v oblib∞ p°edevÜφm klφΦ:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    V n∞m vytvß°ejφ novΘ polo₧ky s ·daji obsahujφcφ cestu k souboru, kter² se pak p°i ka₧dΘm startu Windows aktivuje. Mezi dalÜφ vyu₧φvanΘ klφΦe pat°φ p°edevÜφm:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

    V souboru WIN.INI je obΦas pod ·tokem Φerva °ßdek RUN= v sekci [WINDOWS].
    Podobn∞ je na tom m∙₧e b²t i sekce [BOOT] s °ßdkem SHELL= v souboru SYSTEM.INI. Za sekvencφ znak∙ RUN= se zpravidla nic nenachßzφ. Pokud ano, m∙₧e to b²t znßmka toho, ₧e na poΦφtaΦi je / byl Φerv. Nemusφ se vÜak v₧dy jednat o Φerva, obΦas tyto mo₧nosti vyu₧φvajφ i n∞kterΘ u₧iteΦnΘ programy. Za °ßdkem SHELL= se pak b∞₧n∞ vyskytuje pouze p°φkaz EXPLORER.EXE. Nakonec bych se mohl zmφnit i o klφΦi HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open
    Jeho modifikacφ si n∞kte°φ Φervi zajistφ to, ₧e se aktivujφ p°esn∞ v okam₧iku, kdy u₧ivatel spustφ n∞jak² ten EXE soubor. P°i lΘΦenφ je nutnΘ nejprve vrßtit jmenovan² klφΦ do p∙vodnφho stavu "%1" %* a a₧ potom odstranit soubory pat°φcφ Φervu. V opaΦnΘm p°φpad∞ nebude mo₧nΘ spustit ₧ßdn² EXE soubor (Windows se budou odkazovat na neexistujφcφ soubor Φerva). ProblΘm je v tom, ₧e i program na ·pravu registr∙ je s p°φponou EXE (regedit.exe). Nenφ tedy nic jednoduÜÜφho, ne₧ jeho p°φponu zm∞nit na COM a Φerva tak oklamat :-) P°φkladem z praxe m∙₧e b²t Φerv I-Worm/PrettyPark, kter² p∙vodnφ hodnotu "%1" %* jmenovanΘho klφΦe upravφ na FILES32.VXD "%1" %*

    Odstra≥ovßnφ Φerv∙

    JeÜt∞ p°ed tφm, ne₧ se antivirem odma₧ou infikovanΘ soubory, doporuΦuji odstranit Ükody v registrech, pop°φpad∞ ve WIN.INI Φi SYSTEM.INI. Tento postup je n∞kdy nutnΘ dodr₧et. V p°φpad∞ Φerva PrettyPark se toti₧ m∙₧e stßt, ₧e dφky ÜpatnΘmu postupu, nebude spuÜt∞nφ programu regedit, kter² je v²chodiskem ze situace, mo₧nΘ. Taky je nutnΘ zjistit, co ₧e to mßme z registr∙ v∙bec odstranit. Poslou₧it m∙₧ou n∞kterΘ "VirovΘ encyklopedie", kter²ch je ve sv∞t∞ Internetu hned n∞kolik desφtek ( www.viruslist.com, www.sarc.com ). Detailnφ popisy, i kdy₧ ne v takovΘm mno₧stvφ lze najφt i v ΦeÜtin∞ - www.viry.cz, www.asw.cz, www.grisoft.cz. DalÜφm krokem je zßloha stßvajφcφch registr∙. Je dobrΘ zßlohovat soubory C:\WINDOWS\SYSTEM.DAT a C:\WINDOWS\USER.DAT, kterΘ se pak budou hodit v p°φpad∞ nezdaru.