home *** CD-ROM | disk | FTP | other *** search
/ Chip 2001 October / Chip_2001-10_cd1.bin / servis / viry.cz / 010129.php < prev    next >
Text File  |  2001-08-23  |  10KB  |  331 lines
  1. <HTML>
  2.  
  3. <HEAD>
  4.  <TITLE>Neco malo o cervu I-Worm.Universe</TITLE>
  5.  <meta http-equiv="Content-Type" content="text/html; charset=windows-1250">
  6.  <META NAME="Author" CONTENT="Igor Hak">
  7.  <META NAME="Description" CONTENT="Vse o virech.">
  8.  <META NAME="KeyWords" CONTENT="vir viry virus antivir antiviry antivirus">
  9. </HEAD>
  10.  
  11. <BODY BACKGROUND="tapeta.gif">
  12.  
  13.  
  14.  
  15. <br>
  16.  
  17. <FONT SIZE="2" face="arial">
  18.  
  19. <h2>Neco malo o cervu I-Worm.Universe</h2>
  20.  
  21. <p>
  22. Zdravim fsechny zucastnene,<br>
  23.  
  24. vypada to, ze pro Igiho zacnu psat na plnej uvazek :-) <i>(leda tak zadarmo, tech.poznßmka Igi)</i>
  25.  
  26. Ano, toto je dalsi clanek
  27.  
  28. pojednavajici o mym dalsim programu. Igi me pozadal jestli bych nemohl napsat
  29.  
  30. neco malo o samotne historii, vlastnostech a schopnostech meho noveho internetoveho
  31.  
  32. cerva, ktereho jsem pojmenoval I-Worm.Universe. Protoze vim, ze Igiho stranka o
  33.  
  34. virech je hodne navstevovana, rozhodl jsem se ze neco malo bych napsat mohl. Na
  35.  
  36. moje posledni clanky jsem dostal mnoho mailu - vesmes slusnych, mnoho lidi me
  37.  
  38. zadalo o pomoc pri programovani, hodne z nich ma pry moje dilka rada - z toho
  39.  
  40. jsem vydedukoval ze moje prace neni zas tak spatna jak o ni nekteri bohati panove
  41.  
  42. z bohatych softwarovych firem hovori a cas od casu vydat nejaky ten clanek neni
  43.  
  44. zas tak od veci.. tak tady je.
  45. </p>
  46.  
  47. <p>
  48. Kratce pred dokoncenim cerva XTC jsem si precetl jeden vesmes humorny clanek na
  49.  
  50. internetu, ktery se zabyval moznymi dirami v MSIE 5.0. Byla tam recena jedna
  51.  
  52. zajimava myslenka - pokud by Microsoft potreboval vyuzit vypocetni vykon
  53.  
  54. nekterych pocitacu pripojenych na Internet (treba pro nejake matematicke vypocty,
  55.  
  56. ktere vyzaduji vypocetni vykon nekolikatisettisic az milionu pocitacu), urcite to
  57.  
  58. pro nej nebude velky problem. Vzdyt kolik lidi vyuziva Internet Explorer?
  59.  
  60. Stamiliony a stamiliony uzivatelu. Je teoreticky i prakticky mozne, ze si MSIE
  61.  
  62. dokaze stahnout nejaky "plug-in" umisteny na Microsoftim serveru a vykonat jej.
  63.  
  64. Plug-in muze byt jakakoliv cast programu, treba program pro nejaky vypocet, po
  65.  
  66. jehoz dokonceni se odeslou vysledne informace zpet k Microsoftu. Na velmi
  67.  
  68. podobnem principu pracuje system SETI@home, ktery na kazdem zucastnenem pocitaci
  69.  
  70. analyzuje nektere vybrane informace z vesmiru a vysledek vysle zpet na centralni
  71.  
  72. server. Duvod je jednoduchy. Signalu je takove mnozstvi, ze by to jedna
  73.  
  74. pocitacova jednotka nezvladla zpracovavat, proto se vyuziva tohoto
  75.  
  76. distribuovaneho modelu.
  77. </p>
  78.  
  79. <p>
  80. Tato myslenka me velmi zaujala. Vytvorit cerva, ktery by pracoval na bazi modulu,
  81.  
  82. ktere by byly snadno programovatelne a upgradovatelne. Zpocatku by byly k
  83.  
  84. disposici moduly, ktere by zajistovaly samotne sireni. Gdyby se cerv CISTE
  85.  
  86. teoreticky rozsiril, bylo by mozne pridat jiny modul, ktery by napr. vyuzil
  87.  
  88. vypocetniho vykonu treba na crackovani hesel. V pripade velkeho CISTE teoretickeho
  89.  
  90. rozsireni by take bylo mozne naprogramovat a vypustit modul, ktery by se postaral
  91.  
  92. o zniceni samotneho cerva. Proste cokoliv.
  93.  
  94. Take se mi velmi zamlouvala myslenka tzv. komplementarniho cerva, ktery by byl
  95.  
  96. rozdelen na male casti kodu, roztrousene po celem Internetu. Jedna cast neznamena
  97.  
  98. nic, ale 30 casti uz tvori celeho cerva. Toto prinasi radu vyhod pro me, jako
  99.  
  100. autora cerva (absolutni modularita, variabilita) a nevyhod pro tzv. antivirove
  101.  
  102. "specialisty" (nutnost neustale monitorovat moduly).
  103. </p>
  104.  
  105. <p>
  106. Rozhodl jsem se tyto dve myslenky realizovat. Architektura mela byt hodne
  107.  
  108. jednoducha. Primarni modul mel pouze za ukol stahnout fsechny dostupne moduly
  109.  
  110. z Internetu a vykonat je. Samozrejme musel umet zakladni veci, jako jsou napr.
  111.  
  112. anti-detekcni schopnosti nebo instalace jako tzv. service do pameti (pozn. neni
  113.  
  114. pravda, jak Igi psal, ze XTC a Universe umi pracovat pouze pod Win2000. tito
  115.  
  116. dva cervi umi pracovat pod fsemi Win32 systemy).
  117.  
  118. Zbyle programove rutiny, ktere mel cerv umet vykonat, byly ulozeny prave v
  119.  
  120. modulech. Tyto moduly byly pouhopouhe DLL knihovny, pri jejichz natahnuti do
  121.  
  122. pameti se automaticky spoustel vykonny kod. Fsechny moduly byly zakryptovane
  123.  
  124. mou oblibenou utilitou "tElock", DLL moduly byly jeste k tomu zasifrovane
  125.  
  126. vcelku silnym algoritmem RSA.
  127. </p>
  128.  
  129. <p>
  130. Nyni par technickych detailu tykajicich se samotnych modulu..
  131. </p>
  132.  
  133. <h4>Primarni modul:</h4>
  134.  
  135. <p>
  136. Ten mel za ukol jak jsem jiz rekl provest pouze ty nejdulezitejsi veci. Tady je
  137.  
  138. schema jeho cinnosti:
  139. </p>
  140.  
  141. <p>
  142. <li>1)      zkopiruje sam sebe do systemoveho adresare pod jmenem msvbvm60.exe,
  143.  
  144.         spusti se tam a zaregistruje se jako service process. funguje podobnym
  145.  
  146.         zpusobem jako Energy a XTC.
  147.  
  148. <li>2)      z me stranky si stahne seznam modulu.
  149.  
  150. <li>3)      stahne fsechny moduly specifikovane v seznamu modulu, dekryptuje je a
  151.  
  152.         ulozi je pod jmenem msvbvm6(a-z).dll
  153.  
  154. <li>4)      natahne moduly do pameti, cimz se zajisti jejich automaticke spusteni
  155.  
  156. <li>5)      pozastavi se na 0-5 minut, zrusi se a spusti znovu, obdobne jako Energy
  157.  
  158.         a XTC.
  159. </p>
  160.  
  161. <h4>Modul pro sireni postou:</h4>
  162.  
  163. <p>
  164. Tento modul se pokusi vyparsovat fsechny mailove adresy ze souboru ulozene
  165.  
  166. v cachi (adresar "Temporary Internet Files") a pokusi se na ne odeslat. Toto je
  167.  
  168. take zpusob jak lze virus upgradovat - neposila pres mail totiz primarni modul
  169.  
  170. ulozeny v systemovem adresari, ale modul umisteny v jeho samotnem tele (vypustenim
  171.  
  172. modulu s novym cervem uvnitr se rozesle novejsi varianta cerva).
  173. </p>
  174.  
  175. <h4>Modul "payload":</h4>
  176.  
  177. <p>
  178. V zavislosti na internim citaci systemu provede nasledujici 3 veci:
  179. </p>
  180.  
  181. <p>
  182. <li>1)      nastavi fsechny defaultni adresy Internet Exploreru na
  183.  
  184.         http://www.therainforestsite.com, tak jak to dela XTC. na teto adrese
  185.  
  186.         se nachazi nadace pro zachranu destnych pralesu. a pak ze jsou cervi
  187.  
  188.         a viry spatny.. :-)
  189.  
  190. <li>2)      stahne z me stranky obrazek universe.jpg, ulozi ho do systemoveho
  191.  
  192.         adresare a nastavi jako standardni tapetu Windows.
  193.  
  194. <li>3)      vypise na obrazovku zmet nahodnych znaku, zeleny text, cerny pozadi,
  195.  
  196.         to cele v nekonecne smycce.
  197. </p>
  198.  
  199. <h4>Modul pro zpetne ohlaseni:</h4>
  200.  
  201. <p>
  202. Tento modul se stara o zaslani tzv. "feedbacku" na moji mailovou adresu. Tato
  203.  
  204. zprava obsahuje IP adresu a jmeno stroje, ktery byl infikovan.
  205. </p>
  206.  
  207. <h4>Modul pro sireni pres mIRC32:</h4>
  208.  
  209. <p>
  210. Pokud existuje c:\mirc\mirc32.exe, vytvori c:\mirc\script.ini, ktery se stara
  211.  
  212. o sireni pres IRC klienta mIRC32.
  213. </p>
  214.  
  215. <h4>Modul pro sireni v RAR archivech:</h4>
  216.  
  217. <p>
  218. Tento, zatim posledni modul, zjisti standardni "Download" adresar Internet
  219.  
  220. Exploreru a tam se pokusi infikovat vsechny archivy RAR.
  221. </p>
  222.  
  223. <p>
  224. Jak jsem jiz rekl, cerv je plne variabilni. Pridat novy modul neni nic tezkeho.
  225.  
  226. Staci naprogramovat DLL knihovnu, zakryptovat ji, umistit ji KDEKOLIV na Internet
  227.  
  228. a pridat URL adresu do seznamu modulu na me strance. Behem par minut si fsichni
  229.  
  230. aktivni cervi tento novy modul stahnou a spusti. Opravdu to funguje.
  231. </p>
  232.  
  233. <h3>Mensi perlicka z Ruska:</h3>
  234.  
  235. <p>
  236. Nyni vam jeste napisu o mensim incidentu, ktery se v souvislosti s timto cervem
  237.  
  238. stal. Asi den po zverejneni cerva na me strance vydalo AVP popis. Byly tam
  239.  
  240. zminene nektere "zavazne" chyby. Byl jsem schopen najit chybu pouze jedinou - byla
  241.  
  242. to moje chyba, pri testovani fsechno fungovalo spravne, ale pred finalni kompilaci
  243.  
  244. jsem zapomnel zaZIPovat primarni modul v modulu pro sireni pres postu. Toto
  245.  
  246. znemoznilo CISTE teoreticke rozsireni cerva mailem. Chybu jsem okamzite opravil,
  247.  
  248. jak jsem jiz napsal, prace s modulama je velmi jednoducha. Jine chyby jsem
  249.  
  250. nenasel, testoval jsem to na nekolika masinach, ale zda se ze problemove stroje
  251.  
  252. maji jenom v Rusku. Par hodin po aktualizaci stranky byl muj website zrusen. Gdo
  253.  
  254. jiny mohl poslat hlasku na hyperlink.cz (muj drahy web-space provider) nez
  255.  
  256. Kaspersky, ze?<br>
  257.  
  258. Napsal jsem velmi slusny dopis do hyperlinku, ve kterem jsem dal najevo svuj
  259.  
  260. nesouhlas. Zadne stanovy jsem neporusil (dokonce i ikonku hyperlinku jsem si
  261.  
  262. na stranku pridal), zadne porno, zadny spam, zadne poruseni zakona. Jediny
  263.  
  264. cim jsem se prohresil byla pritomnost zakryptovanych modulu, ktere je nemozne
  265.  
  266. umyslne ci neumyslne jakymkoliv zpusobem spustit. Cerva jsem JAKO VZDYCKY
  267.  
  268. nerozsiril, pouze jsem jej dal k disposici tem, kteri o nej maji zajem - na sve
  269.  
  270. strance. Zadny zakon, zadny pravidla jsem timto neporusil. Musim priznat, ze me
  271.  
  272. to hodne vytocilo - nejaka softwarova firma z Ruska napise na bonusweb.cz, ze Igi
  273.  
  274. si doma udelal destruktivni program FORMAT.COM, ktery muze udelat i miliardove
  275.  
  276. skody, zverejnil jej na sve strance a do jedne hodiny je Igi bez stranky. Je to
  277.  
  278. fer?<br>
  279.  
  280. Odpovedi jsem se bohuzel od hyperlinku nedockal, protoze hned druhy den byla
  281.  
  282. zrusena i moje e-mailova adresa benny_29a@hushmail.com, z ktere jsem odesilal
  283.  
  284. mail. Proc byla zrusena? Jenom kvuli samotne EXISTENCI modulu, ktery se stara o
  285.  
  286. odesilani mailu na moji adresu (modul pro zpetne ohlaseni). Opet jsem napsal
  287.  
  288. mail, tentokrat na hushmail.com, vysvetlil jsem ze se jedna o nedorozumeni, ze
  289.  
  290. zakon ani pravidla neporusuju.. nebylo mi to nic platne, dodnes na adresu
  291.  
  292. benny@post.cz nedosla odpoved.<br>
  293.  
  294. Az me presla zlost, kontaktoval jsem jineho providera (obdoba jiz nefungujiciho
  295.  
  296. coderz.net), na kterem jsou nyni umisteny moje stranky, vcetne cerva a fsech
  297.  
  298. modulu. Jediny mail, co me vzdy fungoval, funguje a doufam ze i bude fungovat
  299.  
  300. je benny@post.cz. Na hushmailu jsem si vytvoril novou schranku a upravil onen
  301.  
  302. zmineny modul tak, aby maily odesilal tam. Toto hodlam delat do te doby, nez
  303.  
  304. to toho ducha Kaspera prestane bavit. Ja mam casu dost na vytvoreni nove schranky
  305.  
  306. a aktualizaci modulu, jsem zvedavy kolik casu ma on na delani nesmyslnych veci
  307.  
  308. (jako treba bezduvodne ruseni mailove schranky kazdy den dvakrat ;-).
  309. </p>
  310.  
  311. <p>
  312. Umeni je rehole :-) V soucasne dobe pracuju na novem "programu". Bude to virus
  313.  
  314. a bude to bomba, jako vzdycky :-) To je to jedine, co vam k tomu ted muzu rict.
  315.  
  316. Dekuju za to, ze jste zabili cas prave s timto clankem. Pokud budete mit neco
  317.  
  318. (cokoliv) na srdci, rad si prectu vas mail a odpovim na nej, pokud mi zase
  319.  
  320. nezrusi schranku :-/
  321. </p>
  322.  
  323. <hr>
  324.  
  325. <p><i>Autorem Φerva I-Worm.Universe i Φlßnku je Benny/29A - <a href="mailto:benny@post.cz">benny@post.cz</a></i></p>
  326.  
  327. </font>
  328.  
  329. </body>
  330.  
  331. </html>