PoΦas vΦerajÜieho popoludnia zaΦali postupne jednotlivΘ AV-spoloΦnosti vydßva¥ aktualizßcie databßz vφrusov²ch re¥azcov pre svoje AV-systΘmy a zverej≥ova¥ prvΘ informßcie o novoobjavenom Ükodlivom k≤de nazvanom Win32/Swen.A. Jednß sa o poΦφtaΦov² Φerv, ktor² sa sna₧φ prostrednφctvom graficky i obsahovo dos¥ prepracovanej emailovej sprßvy presvedΦi¥ nesk·sen²ch pou₧φvate╛ov o tom, ₧e im spoloΦnos¥ Microsoft zasiela v prilo₧enom (... spustite╛nom) s·bore septembrov· û kumulatφvnu aktualizßciu pre aplikßcie MS Internet Explorer, Outlook a Outlook Express. Prφloha vÜak v skutoΦnosti obsahuje Φerv, ktor² sa dokß₧e Üφri¥ prostrednφctvom emailov²ch sprßv a ich prφloh, lokßlnej poΦφtaΦovej siete, aplikßciφ umo₧≥uj·cich Peer-to-Peer a IRC komunikßciu. ZaujφmavΘ je pritom to, ₧e spoloΦnos¥ MessageLabs., ktorß monitoruje emailov· komunikßciu popredn²ch svetov²ch firiem, organizßciφ a spoloΦnostφ odhalila prv· k≤piu tohto Φerva prßve u nßs na SLOVENSKU!!!

PoΦφtaΦov² Φerv Win32/Swen.A (... alias Win32/Sven, I-Worm.Swen alebo Win32/Gibe.E) bol naprogramovan² pomocou aplikßcie MS Visual C++ pod╛a vÜetkΘho rovnakou osobou (... skr²vaj·cou sa pod prez²vkou Begbie), ktorß pred Φasom vytvorila Φerv Win32/Gibe. NajintenzφvnejÜie sa tento Φerv Üφri prostrednφctvom emailov²ch sprßv, ktorΘ maj· za ·lohu presvedΦi¥ menej sk·sen²ch pou₧φvate╛ov o tom, ₧e im spoloΦnos¥ Microsoft v prilo₧enom û spustite╛nom s·bore zasiela septembrov· û kumulatφvnu aktualizßciu pre aplikßcie MS Internet Explorer, Outlook a Outlook Express. Na tomto mieste by sme sa za be₧n²ch podmienok mali detailne popφsa¥ Ütrukt·ru jednej z t²chto emailov²ch sprßv, no vzh╛adom na jej grafick· a textov· obsiahlos¥ tak neurobφme. Hovorφ sa predsa, ₧e lepÜie je raz vidie¥, ne₧ 100-krßt poΦu¥/Φφta¥ a tak Vßm odpor·Φame pozrie¥ si ukß₧ku danej emailovej sprßvy na tomto obrßzku. Ten, kto sa na uveden² obrßzok pozrel Φo i len zbe₧ne nßm urΦite dß za pravdu, ₧e len ¥a₧ko by mohol prehliadnu¥ tak·to emailov· sprßvu vo svojom mailboxe.
S·Φas¥ou tejto emailovej sprßvy je aj prilo₧en² û spustite╛n² s·bor obsahuj·ci telo Φerva, ktorΘho nßzov je generovan² ako nßhodnß kombinßcia jednΘho z nasleduj·cich slov: "Q / Installer / Installation / Install / Update / Upgrade / Patch / Pack" a nieko╛k²ch Φφslic. V²sledkom m⌠₧e by¥ naprφklad nßzov UPGRADE236.EXE alebo INSTALL897.EXE. Ve╛kos¥ s·boru je pribli₧ne 106 kB, priΦom jeho v²konn² k≤d nie je interne nijako komprimovan². K aktivßcii prilo₧enΘho s·boru m⌠₧e d⌠js¥ plne automaticky u₧ pri Φφtanφ emailovej sprßvy najmΣ na niektor²ch starÜφch systΘmoch, ktorΘ nedisponuj· d⌠le₧it²mi bezpeΦnostn²mi zßplatami urΦen²mi pre aplikßcie MS Internet Explorer a MS Outlook Express. Na novÜφch a relatφvne "zaplßtan²ch" systΘmoch m⌠₧e aktivßciu vykona¥ v²luΦne pou₧φvate╛.

Pri automatickom alebo pou₧φvate╛om vy₧iadanom spustenφ prilo₧enΘho s·boru sa automaticky aktivuje v²konn² k≤d Φerva, ktor² si pomocou systΘmov²ch registrov overφ, Φi u₧ je alebo nie je dan² poΦφtaΦov² systΘm infikovan² jeho k≤piou. Ak ßno, zobrazφ dial≤govΘ okno informuj·ce pou₧φvate╛a, ₧e inÜtalßcia (...ako₧e) zßplaty pre vyÜÜie spomenutΘ aplikßcie nie je potrebnß a ukonΦφ svoju Φinnos¥. V opaΦnom prφpade za pomoci nieko╛k²ch dial≤gov²ch okien nasimuluje v celku vierohodne vyzeraj·cu inÜtalßciu nejak²ch nov²ch dßt do systΘmu (... pozri obrßzok Φ.1 / Φ.2 / Φ.3). Na jej pozadφ vÜak Φerv vykonßva integrßciu svojho tela do systΘmu, ktorΘ ulo₧φ vo forme spustite╛nΘho s·boru s nßhodn²m nßzvom (naprφklad: ZNFUL.EXE) do hlavnΘho adresßra OS MS Windows (t.j. C:\Windows alebo C:\WINNT). Nßsledne doplnφ nov· hodnotu do systΘmov²ch registrov.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
... "[nßhodn² textov² re¥azec]" = [nßhodn² nßzov s·boru].EXE autorun

Aby toho ale nebolo mßlo, v registroch Φerv vykonß eÜte ∩alÜie ·pravy, prostrednφctvom ktor²ch si zabezpeΦφ aktivßciu svojho tela pri spustenφ ╛ubovo╛n²ch s·borov s prφponami: .BAT, .COM, .EXE, .PIF, .REG i .SCR a zablokuje pou₧φvate╛ovi mo₧nos¥ pracova¥ s aplikßciou umo₧≥uj·cou upravova¥ dßta ulo₧enΘ v systΘmov²ch registroch.

HKEY_CLASSES_ROOT\batfile\shell\open\command
... "(Default)" = [nßhodn² nßzov s·boru].EXE "%1" %*

HKEY_CLASSES_ROOT\comfile\shell\open\command
... "(Default)" = [nßhodn² nßzov s·boru].EXE "%1" %*

HKEY_CLASSES_ROOT\exefile\shell\open\command
... "(Default)" = [nßhodn² nßzov s·boru].EXE "%1" %*

HKEY_CLASSES_ROOT\piffile\shell\open\command
... "(Default)" = [nßhodn² nßzov s·boru].EXE "%1" %*

HKEY_CLASSES_ROOT\regfile\shell\open\command
... "(Default)" = [nßhodn² nßzov s·boru].EXE showerror

HKEY_CLASSES_ROOT\scrfile\shell\config\command
... "(Default)" = [nßhodn² nßzov s·boru].EXE "%1"

HKEY_CLASSES_ROOT\scrfile\shell\open\command
... "(Default)" = [nßhodn² nßzov s·boru].EXE "%1" /S

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
... "DisableRegistryTools" = 01 00 00 00

╧alej Φerv vyexportuje do hlavnΘho adresßra OS MS Windows eÜte ∩alÜie s·bory. V jednom z nich (... nazvanom GERMS0.DBV) si dr₧φ evidenciu vÜetk²ch emailov²ch adries, ktorΘ postupne vyh╛adßva v s·boroch s prφponami: .EML, .DBX, . MBX, .ASP, .WAB a .HT*. Tie nesk⌠r pou₧ije ako adresy prijφmate╛ov pri automaticky generovan²ch emailov²ch sprßvach (... s vyÜÜie uvedenou Üpecifikßciou) obsahuj·cich jeho telo v ich prφlohe. Do druhΘho z vytvoren²ch s·borov (... nazvanΘho SWEN1.DAT) ukladß zoznam nieko╛k²ch vzdialen²ch SMTP (Simple Mail Transfer Protocol) serverov. NavyÜe m⌠₧e Φerv v tejto fßze svojej Φinnosti zobrazi¥ pou₧φvate╛ovi dial≤govΘ okno (... pozri obrßzok), v ktorom od neho ₧iada z d⌠vodu chyby v module MAPI32.DLL zadanie tak²ch ·dajov ako s·: meno pou₧φvate╛a, jeho emailovß adresa, adresa pou₧φvanΘho emailovΘho (SMTP/POP3) servera a tie₧ prihlasovacie meno i heslo na tento server.

To vÜak ani z∩aleka nie je vÜetko, Φo tento Ükodliv² k≤d dokß₧e! V jeho v²konnom k≤de sa nachßdza rutina, ktorß mu umo₧≥uje vyh╛adßva¥ procesy patriace vybran²m bezpeΦnostn²m a AV-systΘmom nachßdzaj·ce sa aktφvne v operaΦnej pamΣti a vykonßva¥ ich okam₧it· deaktivßciu. Vie tie₧ modifikova¥ obsah konfiguraΦnΘho s·boru SCRIPT.INI v rßmci aplikßcie mIRC, priΦom ak sa pou₧φvate╛ infikovanΘho poΦφtaΦa nßsledne pripojφ do nejakΘho IRC kanßlu Φerv automaticky rozpoÜle k≤piu svojho tela vÜetk²m prihlßsen²m pou₧φvate╛om. Bez povÜimnutia nenechßva ani adresßr obsahuj·ci zdie╛anΘ s·bory urΦenΘ pre aplikßciu KaZaa. Ak sa mu ho podarφ identifikova¥ na infikovanom poΦφtaΦi doplnφ do≥ho nieko╛ko k≤piφ svojho tela vo forme s·borov s prφponou .EXE alebo .ZIP. Nßzov t²chto s·borov si Φerv vyberß z predpripravenej mno₧iny textov²ch re¥azcov.

Poslednou operßciou, ktor· dokß₧e vykonßva¥ tento vÜestrann² Φerv je vyh╛adßvanie nedostatoΦne zabezpeΦen²ch sie¥ovo zdie╛an²ch zdrojov (... ako s·: pevnΘ disky alebo adresßre), na ktor²ch sa pok·Üa nakopφrova¥ svoje telo do nasleduj·cich adresßrov:

?:\windows\all users\start menu\programs\startup
?:\windows\start menu\programs\startup
?:\winme\all users\start menu\programs\startup
?:\winme\start menu\programs\startup
?:\win95\all users\start menu\programs\startup
?:\win95\start menu\programs\startup
?:\win98\all users\start menu\programs\startup
?:\win98\start menu\programs\startup
?:\document and settings\all users\start menu\programs\startup
?:\document and settings\default user\start menu\programs\startup
?:\document and settings\administrator\start menu\programs\startup
?:\winnt\profiles\all users\start menu\programs\startup
?:\winnt\profiles\default user\start menu\programs\startup
?:\winnt\profiles\administrator\start menu\programs\startup

V prφpade, ₧e sa mu to podarφ d⌠jde k aktivßcii nφm vytvorenej k≤pie svojho tela po najbli₧Üom reÜtarte vzdialenΘho poΦφtaΦa a nabehnutφ jeho OS MS Windows. Nu₧ a t²mto krokom sa cel² priebeh vyÜÜie spomφnan²ch Φinnostφ zaΦne opakova¥ od zaΦiatku... .

Na zßver by sa snß∩ eÜte oplatilo spomen·¥, ₧e za poslednΘ hodiny graduje intenzita Üφrenia sa poΦφtaΦovΘho Φerva Win32/Swen nielen v zahraniΦφ, ale ΦiastoΦne aj u nßs na Slovensku a v susedn²ch ╚echßch. Preto odpor·Φame pou₧φvate╛om Φφm sk⌠r vykona¥ aktualizßciu nimi pou₧φvanΘho AV-systΘmu a v²razne zv²Üi¥ opatrnos¥ pri prßci s nevy₧iadan²mi emailov²mi sprßvami (... pochßdzaj·cimi od neznßmych odosielate╛ov), ako aj pri manipulßcii s ich prφlohami. Pre t²ch "Ü¥astlivcov", ktor²m sa u₧ podarilo infikova¥ svoj poΦφtaΦ t²mto Ükodliv²m k≤dom je tak ako v₧dy pripraven² jedno·Φelov² AV-program umo₧≥uj·ci jeho identifikßciu i bezpeΦn· eliminßciu û dostupn² je v sekcii Jedno·ΦelovΘ AV.