Ruskß AV-spoloΦnos¥ Kaspersky Labs. priniesla v druhej polovici tohto t²₧d≥a informßciu o objavenφ prvΘho znßmeho ÜkodlivΘho k≤du û nazvanΘho MBA.First, ktor² dokß₧e infikova¥ geo-informaΦn² systΘm MapInfo, resp. jeho dßtovΘ tabu╛ky. SystΘm MapInfo predstavuje toho Φasu jedno z najkomplexnejÜφch rieÜenφ v oblasti mapovania a geografickej anal²zy, ktorΘ pri svojej Φinnosti vyu₧φva programovacφ jazyk MapBasic. Ten je a₧ na niektorΘ maliΦkosti ve╛mi podobn² jazyku MS Visual Basic, Φo zrejme v²razne napomohlo k r²chlemu a jednoduchΘmu vzniku samotnΘho vφrusu MBA.First. Vo svojom k≤de obsahuje tento Ükodliv² k≤d aj dve funkΦnΘ deÜtruktφvne rutiny... .

Od doby kedy najvΣΦÜφm postrachom pre vÜetk²ch pou₧φvate╛ov poΦφtaΦov i jednotliv²ch slu₧ieb siete Internet boli makrovφrusy u₧ uplynulo pekn²ch pßr rokov. No iste si mnohφ eÜte ve╛mi dobre pamΣtaj· na to, ako Φasto sa v tom Φase sklo≥oval pojem makrovφrusy s s·vislosti s programovacφm jazykom Visual Basic, pochßdzaj·cim od spoloΦnosti Microsoft. Ve∩ prßve ten umo₧nil vznik a nßsledne aj nieko╛ko roΦnΘ intenzφvne Üφrenie t²chto Ükodliv²ch k≤dov. Dnes sa u₧ naÜ¥astie nikto nemusφ star²ch a ani obΦas sa objavuj·cich nov²ch makrovφrusov obßva¥. ModernΘ AV-systΘmy ich toti₧to "hravo" dokß₧u identifikova¥ pomocou svojich v²konn²ch nßstrojov pre anal²zu û a to aj bez nutnosti predchßdzaj·cej aktualizßcie ich databßz vφrusov²ch re¥azcov.
V prφpade poΦφtaΦovΘho vφrusu nazvanΘho MBA.First, ktor² ako prv² na svete dokß₧e infikova¥ dßtovΘ tabu╛ky geo-informaΦnΘho systΘmu MapInfo z·₧itkoval jeho tvorca svoje neve╛kΘ poznatky z programovacieho jazyka MS Visual Basic a aplikoval ich s drobn²mi ·pravami v podobnom jazyku MapBasic. Ten je zhodou okolnostφ priamou a v²konnou s·Φas¥ou komplexne vytvorenΘho systΘmu MapInfo. Hoci tento geo-informaΦn² systΘm patrφ vo svojej oblasti medzi svetov· ÜpiΦku, v praxi ho (... na ve╛kΘ Ü¥astie nßs vÜetk²ch) pou₧φva len ·zky okruh pou₧φvate╛ov. To v²razne oklieÜ¥uje aj celkov· mieru p⌠sobnosti novΘho vφrusu v reßlnom svete a vzbudzuje dojem, ₧e bol vytvoren² hlavne ako prvß funkΦnß a zßrove≥ aj deÜtruktφvna ukß₧ka existuj·cich mo₧nostφ jazyka MapBasic, ktorß by v bud·cnosti nemusela ma¥ ve╛a svojich nasledovnφkov, resp. pokraΦovate╛ov. Pozrime sa vÜak teraz o nieΦo detailnejÜie na to, Φo vÜetko tento Ükodliv² k≤d dokß₧e...?!

PoΦφtaΦov² vφrus MBA.First bol vytvoren² v jazyku MapBasic a integrovan² do dßtovej tabu╛ky (... zak≤dovanej v binßrnej podobe), ktorß je urΦenß pre aplikßciu MapInfo. V prφpade, ₧e d⌠jde k otvoreniu takejto infikovanej dßtovej tabu╛ky uvedenou aplikßciou vφrus sa pok·si automaticky infikova¥ jej hlavnΘ prostredie. Za t²mto ·Φelom ulo₧φ svoje telo do inÜtalaΦnΘho adresßra aplikßcie MapInfo, vo forme s·boru nazvanΘho 0gPiSs1.DLL a zßrove≥ do s·boru nazvanΘho STARTUP.WOR (t.j. do Üabl≤ny obsahuj·cej zßkladnΘ pracovnΘ prostredie) doplnφ prφkaz zabezpeΦuj·ci volanie s·boru 0gPiSs1.DLL a aktivßciu v ≥om obsiahnutΘho k≤du. V∩aka t²mto ·pravßm si vφrus zabezpeΦφ pravidelnΘ sp·Ü¥anie svojho k≤du pri ka₧dom Ütarte aplikßcie MapInfo.

PoΦas svojej aktivity si vφrus postupne, bez vedomia pou₧φvate╛a sumarizuje nßzvy dßtov²ch tabuliek pou₧φvan²ch pri prßci s aplikßciou MapInfo. ZφskanΘ nßzvy s·borov nesk⌠r pou₧ije pri Φinnosti svojich dvoch deÜtruktφvnych rutφn, k aktivßcii ktor²ch dochßdza v zßvislosti od systΘmovΘho dßtumu (... ten si vφrus kontroluje v₧dy pri ukonΦenφ aplikßcie MapInfo). Ak identifikuje v dan² okamih de≥ ako pondelok vykonß vφrus svoju prv· deÜtruktφvnu rutinu. Pri nej sa s pravdepodobnos¥ou 1 % pok·si odstrßni¥ zo systΘmu dßtovΘ tabu╛ky s prφponami: .MAP, .TIF, .PCX alebo .JPG, ktor²ch nßzvy si stihol poΦas svojej Φinnosti zozbiera¥ pri vyÜÜie spomenutej sumarizßcii. Druh· deÜtruktφvnu rutinu sa vφrus pok·Üa aktivova¥ v₧dy v piatok trinßsteho, priΦom pri nej je pravdepodobnos¥ odstrßnenia jednotliv²ch dßtov²ch tabuliek a₧ 14 %. NavyÜe pri tejto operßcii vφrus prepisuje aj p⌠vodn² obsah s·boru MAPINFOW.PRJ nasleduj·cim rusk²m textom:

"--- Координаты ---"
"Долгота / Широта", 3, 62, 8, -74, 40.5, 40.6666666667, 41.0333333333, 2000000, 100000

V prφpade, ₧e pri ukonΦovanφ aplikßcie MapInfo ned⌠jde k aktivßcii ₧iadnej zo spomenut²ch deÜtruktφvnych rutφn (... z d⌠vodu nesplnenia urΦen²ch Φasov²ch podmienok) infikuje vφrus vÜetky dßtovΘ tabu╛ky, ktorΘ stihol v systΘme identifikova¥ poΦas procesu sumarizßcie a naviac prepφÜe aj p⌠vodn² obsah s·borov s prφponou .MIF svojim vlastn²m k≤dom.

Pod╛a dostupn²ch informßciφ dokß₧e poΦφtaΦov² vφrus MBA.First toho Φasu identifikova¥ len rusk² AV-systΘm Kaspersky Anti-Virus, ktor² zßrove≥ umo₧≥uje odstrßni¥ zo vÜetk²ch infikovan²ch s·borov aj nφm pridan² û ne₧iad·ci k≤d. P⌠vodn² obsah s·borov, ktorΘ vÜak vφrus prepφsal alebo odstrßnil z infikovanΘho systΘmu sa dß zφska¥ spΣ¥ len za predpokladu, ₧e poÜkodenφ pou₧φvatelia maj· vytvorenΘ ich zßlo₧nΘ k≤pie. Na zßver u₧ len spome≥me, ₧e akΘko╛vek v²raznejÜie rozÜφrenie tohto ÜkodlivΘho k≤du medzi pou₧φvate╛mi poΦφtaΦov je zatia╛ vyl·ΦenΘ... .