var SectionTitles=new Array( "ProgramßtorskΘ techniky dneÜnφch vir∙" , " Podporuje Microsoft replikaci Φerv∙ zßm" , " Po°ßd to samΘ" , " Kde je?" , " ╚asovanß bomba" );
var BrothersNames = new Array("Update antivir∙ p°ez inet je patentovßn","╚erv Badtrans p°ichßzφ s vylepÜenφmi a o₧φvß...","Podporuje Microsoft replikaci Φerv∙ zßm∞rn∞?","HTML viry realitou i pro antivirovΘ programy","ProgramßtorskΘ techniky dneÜnφch vir∙","ProgramßtorskΘ techniky dneÜnφch vir∙, 2. dφl","");
var BrothersIDs = new Array("54","87","106","143","181","187","");
//=====INFO======
ItemName='Article181';
InIFrame='No';
TableNum=2;
ItemID=181;
ArticleType='1';
Action='articles'
ItemTitle='ProgramßtorskΘ techniky dneÜnφch vir∙';
ItemComment='ProgramßtorskΘ techniky dneÜnφch vir∙';
ArticleHead('ProgramßtorskΘ techniky dneÜnφch vir∙', 'Michal Till', 'Michal.Till_40Seznam.cz', '30.4.2002', '00:12:25', '╚lßnek');
Intro('Hrozba p°φjmu elektronickΘ poÜty s necht∞n²m obsahem v podob∞ r∙zn²ch zßludn²ch vir∙ a Φerv∙ ji₧ zdomßcn∞la snad na ka₧dΘm poΦφtaΦi platformy Windows. V₧dy¥ äprogramyô jako I LOVE YOU, BadTrans, Klez apod. majφ tak velk² poΦet äu₧ivatel∙ô, ₧e by se o n∞m v²robc∙m u₧iteΦnΘho softwaru mohlo zdßt.');
V prehistorick²ch dobßch, kdy naÜim poΦφtaΦ∙m vlßdnul Friday 13th, Michellangelo nebo One-Half, byla koncepce viru podstatn∞ jinß. Virus vyu₧φval standardnφ metody dostupnΘ pod systΘmem MS-DOS a obrana proti vir∙m tohoto druhu vφcemΘn∞ zßvisela na aktußlnosti pou₧itΘho antivirovΘho programu, na dostupn²ch informacφch a na obez°etnosti u₧ivatele. S nezastaral²m programem, trochou rozvahy a malou dßvkou Üt∞stφ se dalo nebezpeΦφ nßkazy podstatn∞ snφ₧it. Minimßln∞ na znßmou hodnotu äjednou se s tφm ka₧d² potkßô, kterß je podle mΘho soudu pod systΘmy se zabezpeΦenφm jakou mßjφ DOS/9x b∞₧nß.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Techniky e-mailov² Φerv∙, kterΘ se derou do naÜich schrßnek dnes, jsou odliÜnΘ. StarΘ dobrΘ schΘma äEXE v p°φloze + adresß° Outlooku ô, jak jej znßme z poΦßtk∙ e-mailov²ch vir∙, je sice omφlßno po°ßd dokola, nicmΘn∞ novΘ techniky vyu₧φvßnφ bezpeΦnostnφch chyb prohlφ₧eΦ∙ a poÜtovnφch klient∙, kterΘ se objevujφ, rozhodn∞ stojφ programßtorskΘmu oku za povÜimnutφ.
</DIV></FONT></b></i>
<A Name="Title1"><FONT Size=3><DIV Class=Headline>Podporuje Microsoft replikaci Φerv∙ zßm∞rn∞?</DIV></font>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Asi ne, ale podle Important Macro Virus Tips FAQ na microsoft.com by to tak skoro mohlo vypadat. V dokumentu najdete i tuto otßzku a odpov∞∩:
Q:<i> Will the virus impact my Macintosh if I am using a non-Microsoft e-mail program, such as Eudora?</i>
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
A:<i> If you are using an Macintosh e-mail program that is not from Microsoft, we recommend checking with that particular company. But most likely other e-mail programs like Eudora are not designed to enable virus replication.</i>
A:<i> Pokud pou₧φvßte e-mailov² program, kter² nenφ od Microsoftu, doporuΦujeme obrßtit se na pat°iΦnou spoleΦnost (kterß program produkuje). Velmi pravd∞podobn∞ ale ostatnφ programy, jako Eudora, nejsou navr₧eny tak, aby umo₧≥ovaly rozmno₧ovßnφ vir∙.</i>
Podotknout je snad u₧ mo₧nΘ jen to, ₧e auto°i FAQ majφ pravdu. Pou₧itφ jinΘho e-mailovΘho software, ne₧ od Microsoftu, podstatn∞ sni₧uje riziko zasa₧enφ e-mailov²m Φervem.
</DIV></FONT></b></i>
<A Name="Title2"><FONT Size=3><DIV Class=Headline>Po°ßd to samΘ</DIV></font>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Uka₧me si nejprve zßkladnφ mechanizmus funkce typickΘho viru. Je jasnΘ, ₧e nevφtan² hostitel musφ ₧φt tam, kde je k≤d, tedy posloupnost instrukcφ v jazyce, kter² disponuje dostateΦn²mi programßtorsk²mi funkcemi pro replikaci.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Pod platformou DOS byly spustitelnΘ soubory EXE, COM a BAT. DßvkovΘ soubory (BAìßky) jsou spustitelnΘ nadßle, ale pro tento ·Φel se nehodφ, nebo¥ nespl≥ujφ v²Üe uvedenou podmφnku. COM je v dneÜnφ dob∞ p°e₧itek a nepou₧φvß se. Zb²vß tedy EXE, kter² ovÜem dneska m∙₧e b²t skryt nap°φklad pod koncovku Üet°iΦe obrazovky, SRC. Majφ stejn² formßt, ale pro ·Φely screensaver∙ se pou₧φvß odliÜnß p°φpona. Dßle hrozφ pou₧itφ p°φpony PIF, ze stejnΘho d∙vodu. Upozor≥uji, ₧e soubor m∙₧e mφt ve jmΘn∞ teΦku, co₧ se jevφ jako kdyby m∞l p°φpon vφce. Platφ ovÜem ta poslednφ. T°eba soubor obrazek.jpg.src m∙₧e obsahovat virus, nebo¥ jde o spustiteln² soubor.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Po p°ijetφ e-mailu s virem musφ n∞jak²m zp∙sobem dojφt ke spuÜt∞nφ jeho k≤du. Zde Φerv ·toΦφ na n∞kolika frontßch û sna₧φ se budit dojem zajφmavΘho dopisu (vtip, pornoà), sna₧φ se zamaskovat p°φponu (photos.jpg.exe)à V neposlednφ °ad∞ se ale sna₧φ zneu₧φt chyby v e-mailovΘm klientovi ke spuÜt∞nφ automatickΘmu. Doufat, ₧e u₧ivatel kline na p°φlohu je dnes znßmka ätechnickΘ zaostalostiô tv∙rce. Popis nejr∙zn∞jÜφch technik tohoto druhu zaΦneme na konci tohoto dφlu a bude hlavnφ nßplnφ dφl∙ p°φÜtφch.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
P°evzali jsme tedy vlßdu nad poΦφtaΦem, co nynφ? Je t°eba se Üφ°it a k tomu nutn∞ pot°ebujeme e-mailovΘ adresy. Samoz°ejm∞ se p°φmo nabφzφ pou₧itφ adresß°e v poÜtovnφm programu, ale i na tomto poli je jist² v²voj. Kup°φkladu velmi rafinovan² zp∙sob je sbφrßnφ adres z cache www prohlφ₧eΦ∙, dßle vir∙m m∙₧e hrßt do noty, pokud p°edm∞t zprßvy bude vypadat jako odpov∞∩ (Re: ) na skuteΦn² dopis. Po ·sp∞ÜnΘm odeslßnφ sv²ch replikacφ virus vφcemΘn∞ splnil svojφ hlavnφ ·lohu a nabφzφ se otßzka, zda dßle setrvßvat v poΦφtaΦi, pop°. co s infikovan²m poΦφtaΦem provΘst. Jak se ukazuje, metoda okam₧itΘho smazßnφ a¥ u₧ sebe Φi celΘho harddisku nenφ nejlepÜφ. U₧ivatel nap°φklad p°i Φtenφ e-mailu nemusφ b²t k p°ipojen k internetu. Vir se tedy do systΘmu zahnφzdφ a svojφ Φinnost provßdφ opakovan∞.
NejΦast∞ji na disku, v podob∞ n∞jakΘho rßdoby systΘmovΘho souboru. ╚φm vφce slov win, 32, kernel, system a dll v nßzvu, tφm lΘpe. V adresß°φch system a system32 se tak dokonale skryje. OpakovanΘ spouÜt∞nφ m∙₧e b²t zajiÜ¥ovßno n∞kolika zp∙soby, od win.ini v ran²ch dobßch Windows 9x, po registry, nejΦast∞ji vyu₧φvanou cestu. V klφΦi <SPAN Class=CODE>HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows \Current Version</SPAN> najdete n∞kolik podklφΦ∙, jejich₧ obsah se vykonßvß v₧dy p°i spuÜt∞nφ poΦφtaΦe. Nejznßm∞jÜφ je podklφΦ <SPAN Class=CODE>Run</SPAN>, kde najdete takΘ v∞tÜinu regulΘrnφch program∙. Obdobn²m zp∙sobem se dß vyu₧φt klφΦ <SPAN Class=CODE> HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
</SPAN>. Nßzev prom∞nnΘ je taktΘ₧ obvykle n∞co Üφlen∞ sysΘmovΘho a odbornΘhoà
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Virus tak p°ebφrß kontrolu nad poΦφtaΦem po ka₧dΘm spuÜt∞nφ. SofistikovanΘ typy se samoz°ejm∞ urputn∞ brßnφ odhalenφ i odstran∞nφ ze strany u₧ivatele. Nap°φklad kontrolujφ pou₧itou v∞tev v registrech ka₧d²ch 10 sekund a v p°φpad∞ jejφ neexistence ji op∞t doplnφ. Brßnφ vlastnφ soubory proti vymazßnφ a pou₧φvajφ zßlo₧nφ kopie k op∞tovnΘmu ulo₧enφ. Ma₧ou kontrolnφ souΦty v databßzφch antivirov²ch program∙ (p°edevÜφm soubory Anti-Vir.dat, Chklist.dat, Chklist.ms, Chklist.cps, Chklist.tav, Ivb.ntz, Smartchk.ms, Smartchk.cps, Avgqt.dat a Aguard.dat), ma₧ou volßnφ jejich rezidentnφch Ütφt∙ (taktΘ₧ v registrech), pop°φpad∞ celΘ antivirovΘ programy. Na jejich odstran∞nφ bude zvlßÜt∞ v budoucnu pravd∞podobn∞ nutnΘ pou₧φvat jedno·ΦelovΘ programy.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Mezi oblφbenΘ triky pat°φ asociovßnφ virovΘho programu se spustiteln²mi soubory typu EXE. Virus p°epφÜe klφΦ
z p∙vodnφho nastavenφ <SPAN Class=CODE>%1 %</SPAN> (spuÜt∞nφ vlastnφho programu - vlastn∞ prvnφho paramteru p°φkazovΘ °ßdky û s ostatnφmi parametry) na hodnotu nap°φklad <SPAN Class=CODE>virus.exe %1 %</SPAN>. Virus.exe potΘ provede vlastnφ spuÜt∞nφ. T∞lo viru se tak skrz program viru spouÜtφ s ka₧d²m startem n∞jakΘ aplikace, Φeho₧ m∙₧e b²t virem vyu₧ito ledajak. ProstΘ smazßnφ viru z disku po varovnΘ hlßÜce antivirovΘho programu m∙₧e zablokovat spuÜt∞nφ Φehokoliv jinΘho.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Tuto techniku vyu₧φval nap°φklad ve svΘ dob∞ rozÜφ°en² Sircam.
Jak jsem ji₧ °φkal, spolΘhat se na spuÜt∞nφ p°φlohy je jednak äneznalost mo₧nostφô, jednak nuda. Zkusme se zamyslet, jak m∙₧e pisatel viru dosßhnout tohoto cφle minimßln∞ s v∞tÜφ pravd∞podobnostφ.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Nejprve je nutnΘ si vysv∞tlit, jak funguje posφlßnφ p°φloh. Pokud mß e-mail vφce Φßstφ, posφlß se jako tzv. multi-part mail. Ka₧dß takovßto Φßst mß svoje unikßtnφ ID, ID obsahu, jmΘno souboru, oznaΦenφ MIME typu, formßtu k≤dovßnφ a znakovou sadu. V hlaviΦce mailu s p°φlohami najdeme MIME typ <SPAN Class=CODE>multipart/mixed;</SPAN> a odkaz na ID textu zprßvy, nap°. takto :
Zßkladnφ trik je v pou₧itφ IFRAMU v HTML mailu. HTML soubor musφ b²t nastaven jako₧to vlastnφ text zprßvy. V jednotliv²ch Φßstech HTML mailu se toti₧ m∙₧eme odkazovat na Φßsti jinΘ, pokud znßme jejich ID obsahu. Pokud nap°φklad pou₧ijeme tag IMG s parametrem SRC=öobrazekö, kde °et∞zec v zßvorkßch je ID Φßsti s obrßzkem (typ image/gif nebo image/jpeg), cesta bude nalezena a obrßzek se zobrazφ.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
╚ßst zdroje zprßvy by vypadala takto (VÜimn∞te si, ₧e SRC obrßzku z mailu se znaΦφ identifikßtorem äcidô, tedy content-id):
Prohlφ₧eΦ (tedy IE komponenta) bude mφt tendenci obsah spustit standardnφm zp∙sobem a v naÜem p°φpad∞ se p°i otev°enφ zprßvy stane totΘ₧, co by se stalo p°i kliknutφ na p°φlohu. V p°φpad∞ EXE souboru je to äjenô zobrazenφ dialogu (otev°φt nebo ulo₧it), v p°φpad∞ txt souboru by to bylo jeho okam₧itΘ otev°enφ. Zobrazenφ tohoto dialogu zßvisφ takΘ na aktußlnφm nastavenφ (äV₧dy zobrazit dotaz p°ed otev°enφm souboru tohoto typuô).
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Toto byla, je a jak se zdß v nejbli₧Üφ dob∞ bude v∞Φnß souΦßst e-mailov²ch Φerv∙.
