Vir Bacros sní na Vánoce váš disk

Tento týden se v mnohých počítačích po celém světě objevil vir, který dostal do vínku od antivirových společností jméno „Bacros“. V mnohých očích vzbuzoval úsměv, ale mohl by také předznamenávat jistou změnu v dnešním stereotypu téměř nic nedělajících červů.

Dech nostalgie

Související odkazy

Slovník
antivirus
atribut
CD-ROM
Delphi
GIF
makro
makrovirus
programování
TEMP
USB
virus
worm

Databáze znalostí
kategorie Viry

Virus Bacros s sebou přináší funkčnosti a metody, které byly používány především zhruba v devadesátých letech minulého století - období operačního systému MS-DOS, Windows 3.11 a Windows 9x. V této době znamenaly počítačové viry opravdu velký postrach pro data na disku.

Málo kdo by si nevzpomněl například na pojmy, jakými se ve své době staly viry Michelangelo či OneHalf. Někdy stačilo přinést diskety s novou hrou od kamaráda a bylo „vymalováno“. Nenažrané zvířátko v podobě počítačového viru mohlo z ničeho nic po obrazovce začít jezdit se symbolem sanitky složené z textových znaků nebo žilo například několik týdnů v plné anonymitě počítačového systému a postupně užíralo data z disku.

Způsob šíření byl více méně jednoznačný – pomocí výměnných médií a to zejména disket, což bylo jedno z nejčastěji používaných médií.

Jak vypadají dnešní červi

Ve chvíli, kdy Internet přestal být pouze výsadou králů, začalo použití výměnných médií pro šíření nebezpečných kódů postupně opadat. Byla tu totiž daleko zajímavější a postupně stále více účinnější oblast pro šíření.

V dnešní době se již prakticky všechna „elektronická škodná“ přesídlila do oblasti Internetu, kde díky velmi mocným a četně nabízeným chybám ve složitém a přetechnizovaném software mají relativně dobré podmínky pro úspěšné šíření.

Celkově však tyto původně destruktivní dílka sklouzly do jiné funkční sféry. Množí se, zahlcují Internet, ale jen v malém procentu opravdu škodí. Navíc stále se opakující nové a nové varianty od konkrétních červů jdou v úzce prošlapaných cestičkách, takže i v oblasti funkčnosti se většina červů podobá jako vejce vejci. Již nejde o "dokazování" si kvality programování, ale vesměs o prosté výplody poloautomatických generátorů či výsledek vizuálních programovacích jazyků.

Co vlastně dělá Bacros

Vir Bacros je klasickou ukázkou vykročení úplně jiným směrem ze stereotypu dnešních virů a červů. Vrací se zpět ke kořenům a používá převážně klasickou cestu šíření – pomocí výměnných médií. Dále také pouze nezkouší svoje reprodukční schopnosti, ale den po našem Štědrém dnu se pokusí vymazat veškerá data z disku, což pro některé nesvědomité uživatele bez antivirového programu může být relativně velkým problémem a minimálně velmi nepříjemným opožděným dárkem pod stromečkem.

Jak Bacros pracuje

Pokud se na vlastní kód podíváme podrobněji, zjistíme, že se jedná vlastně o naprosto jednoduchý program o délce 356.352 bajtů napsaný v Borland Delphi. Už velikost vypovídá o tom, že je psaný pro dnešní dobu mohutných softwarových kolosů.

Pokud se tento vir spustí bez parametrů (například pomocí dvojkliku na soubor), dojde k jeho instalaci do systému nakopírováním souborů do adresáře operačního systému a k jejich registraci do systémového registru:

  • %WinSysDir%\mssys.exe
  • %WinSysDir%\sys.exe
  • %WinSysDir%\msdosdrv.exe

Prováděné záznamy do systémového registru:

 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "MSSys" = "%WinSysDir%\mssys.exe -d"
 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "MSDosdrv" = "%WinSysDir%\msdosdrv.exe -t"

Pomocí těchto záznamů se vir znovu spustí i po restartu počítače, ale již s parametrem ovlivňujícím jeho chování.

Čím více způsobu šíření umíš, tím více jsi virem

Vir Bacros zvládá několik zajímavých způsobů šíření.

Prvním z nich je šíření zavirovaných Word dokumentů. Do složky Dokumenty přihlášeného uživatele virus umístí Word dokument s vloženými makry aktivujícími se po otevření. Zároveň se také provede pokus o vypnutí antivirové ochrany maker přímo ve Wordu.

Makrovirus se replikuje během otevírání a zavírání dokumentu. Infikuje hlavní šablonu Normal.Dot a vytváří také její kopie do TEMP složky MS Wordu. Každý šestý den v měsící napíše do textu slovo Madman a pravidelně se pokouší zkopírovat spustitelný kód viru z pevného disku do kořene disku A: pod jménem readmy.exe.

Mezi více netradiční cesty pak patří šíření pomocí CD-ROMu. I na toto médium se červ snaží zapsat jako soubor ReadMy.exe a navíc je připojen i soubor Autorun.inf pro automatickou aktivaci červa po vložení cédéčka do mechaniky počítače. Program nejprve zjistí, zda se nejedná například o USB zařízení a ve chvíli, kdy si je jistý, že jde o CD médium, pokusí se na něj zaznamenat svůj kód. Ne, nebojte se – neobsahuje v sobě vypalovací software. Funguje pouze za podmínky, že systém disponuje schopností „packet-writing“, tedy například pokud je nainstalován program Nero InCD.

Posledním způsobem, jak si vir snaží zajistit svoji pozornost je maskování se za textové soubory. Tuto činnost pro změnu provádí každý druhý den v měsíci, kdy vyhledává na disku textové soubory. Těm poté nastavuje atribut skrytého souboru (ve výchozím nastavení Windows poté nebudou vidět) a vytváří svoji kopii se stejným názvem souboru a stejnou ikonou – jen místo přípony TXT doplní EXE (přípona také nebude ve výchozím nastavení Windows vidět). Rázem tak máte zavirovaný celý disk a vir aktivujete každým pokusem o přečtení původně neškodného textového souboru.

Na Vánoce dávejte spíše pozor na kosti z kapra

Pokud se červ Bacros opravdu dostane až na váš disk, čekejte, že možná nadělá dost neplechy. Každý první den v měsíci vyhledá všechny obrázky GIF na disku a nahradí je tímto „skvostem“ ve finštině (v angličtině „Die Jehovav“):

Klepněte pro větší obrázek
 
6. prosince si autor viru dovolí zažertovat s vaší pracovní plochou a změní pozadí na modrou barvu s malou finskou vlaječkou.

Klepněte pro větší obrázek

A jako bonbonek si vir nechá na 25. prosince smazání celého disku.

Kam půjde směr dalšího vývoje

Červ Bacros není žádným horkým kandidátem na celosvětové masivní rozšíření. Může ale být velmi nebezpečným připomenutím a inspirací pro současné autory červů. Na světě bohužel stále existuje velmi velká řada lidí, podceňujících problematiku antivirové ochrany.

Uvidíme, zda tento „výkřik“ mimo současný monotónní směr bude mít nějaký další vývoj a dočkáme se tak opravdu nepříjemných hrozeb přicházejících denně v milionech kusů do emailových schránek po celém světě.

Diskuze (24) Další článek: Corel koupil výrobce Paint Shop Pro

Témata článku: Windows, Makrovirus, Šíření, Makro, Bonbónek, Michelangelo, Škodná, Tempo, Jistý směr, MSDOS, Dnešní den, Systémová schránka, Nostalgie


Určitě si přečtěte

Hesla jsou zlo. Hackeři napáchali tolik škody právě proto, že vůbec existují

Hesla jsou zlo. Hackeři napáchali tolik škody právě proto, že vůbec existují

** Nikdo si je nepamatuje ** Žádné není zcela bezpečné ** Nejlepší by bylo je prostě zrušit

Jakub Čížek | 59

Nové iPhony, hodinky a další novinky Applu: Zase bude za co utrácet

Nové iPhony, hodinky a další novinky Applu: Zase bude za co utrácet

Dnes proběhla další velká prezentační akce Applu, na které došlo k odhalení nových iPhonů a dalších novinek. Událost jsme sledovali online, a tak se můžete podívat na chronologický zápis těch nejdůležitějších informací.

David Polesný | 136

Vyzkoušeli jsme chytrou čínskou zásuvku Sonoff S26 za tři stovky. Nevyhořeli jsme

Vyzkoušeli jsme chytrou čínskou zásuvku Sonoff S26 za tři stovky. Nevyhořeli jsme

** Je sice z Aliexpressu, ale funguje ** Můžete ji ovládat hlasem přes Amazon Echo nebo Google Home ** Za tři stovky zautomatizuje menší 230V spotřebič

Jakub Čížek | 108

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

** Strojové učení ještě nepřitáhlo takový zájem jako na začátku prázdnin ** Ne, umělá inteligence nenašla lék na rakovinu ** Naučila se svlékat ženy nejen z plavek

Jakub Čížek | 35


Aktuální číslo časopisu Computer

Megatest 20 procesorů

Srovnání 15 True Wireless sluchátek

Vyplatí se tisknout fotografie doma?

Vybíráme nejlepší základní desky