Červ co rád loví ufouny

Český červ Hydra se šíří tradičně přes e-maily, tradičně se pokouší zapsat do registrů, netradičně se ale snaží zapojit oběť do nedobrovolné účasti na SETI@home.
Není to tak dávno, co se mezi lidmi (naštěstí zatím nijak výrazně) vyskytl nový internetový červ jménem I-Worm.Hydra. Autorem je virový programátor gl_st0rm, který se zaměřuje především na HLL (high-level language) viry a červy. Není tedy náhodou, že je napsán ve VisualBasicu. Aby se alespoň trochu zamaskovala jeho značná velikost, používá komprimační program UPX, po jehož zkomprimování zabírá červ pouhých 12kB.

Samotný červ se šíří prostřednictvím elektronické pošty, jakožto spustitelná (.EXE) příloha. Po jeho aktivaci (spuštění uživatelem) se zkopíruje do adresáře Windows pod jménem MSSERV.EXE a nastaví se pro spouštění v registru Windows v sekcích Run a RunServices.

Potom červ zůstane v paměti Windows jako skrytá aplikace (service, služba), napojí se na MS Outlook a zaregistruje sebe jako obsluha událostí „NewMail“ a „ItemSend“.

Při události „NewMail“ (došel nový e-mail) se červ podívá, zda-li se nemůže jednat o infikovaný e-mail, a v případě že ano, tak e-mail smaže.

Při události „ItemSend“ (e-mail se odesílá) se červ podívá na přiložené soubory, nahradí první přílohu svoji vlastní kopií, přejmenuje příponu na .EXE a odešle e-mail. V případě, že zpráva nemá žádnou přílohu, červ vytvoří náhodné osmiznakové jméno s .EXE příponou pro svoji kopii a e-mail odešle.

V pátek třináctého, od 13:00 do 14:00 červ přidá tento text na začátek e-mailu:

[I-Worm.Hydra] ...by gl_st0rm of [mions]

Červ se snaží, aby možnost jeho detekce a odstranění byla co nejmenší a možnosti šíření co největší, a tak kromě modifikace registru Windows také maže program MSCONFIG.EXE (pomůcka systémové konfigurace) v systémovém adresáři. Také se pokouší najít okna (pro něj teoreticky nebezpečných) právě spuštěných aplikací a odstranit je z paměti:

  • AVP Monitor
  • AntiVir
  • Vshwin
  • F-STOPW
  • F-Secure
  • vettray
  • InoculateIT
  • Norman Virus Control
  • navpw32
  • Norton AntiVirus
  • Iomon98
  • AVG
  • NOD32
  • Dr.Web
  • Amon
  • Trend PC-cillin
  • File Monitor
  • Registry Monitor
  • Registry Editor
  • Task Manager
Taky umí odstranit databázi antivirového programu Kaspersky Anti-Virus.

Pravděpodobně nejzvláštnější věc, kterou červ umí, je instalace programu SETI@HOME (Search for Extraterrestrial Intelligence). Červ se pokouší stáhnout program a uložit ho do systémového adresáře Windows pod jménem MSSETI.EXE z několika FTP serverů:

Dále v systémovém adresáři vytvoří důležité konfigurační soubory USER_INFO.SAH (informace o uživateli, viz dále), VERSION.SAH (informace o verzi SETI@HOME), MSSETI.PIF, RUN_MSSETI.VBS a MSSETI.BAT (to vše pro následné spouštění programu). Potom zaregistruje RUN_MSSETI.VBS v registru Windows.

Soubor USER_INFO.SAH popisuje informaci o zaregistrovaném uživateli a vypadá následovně:

id=2199938
key=1603033966
email_addr=gl_storm@seznam.cz
name=GL_STORM
country=Czech Republic

Jak je vidět, všechny body za vypočítaní balíčků dat se budou připisovat právě autorovi červa. Jedná se o velmi komický případ zneužití výpočetního výkonu počítačů na Internetu (zneužití výpočetní síly pro hledání ufounů), o což zřejmě šlo i autorovi.

Červ již nyní umí odstranit většina antivirových programů, namátkou uveďme třeba Kaspersky Anti-Virus, Symantec a tuzemský AVG.

Diskuze (11) Další článek: Macromedia představila Sitespring

Témata článku: Windows, UFO, Kaspersky, Search for, Systémový program, Červ, Pouhý začátek, Nebezpečná událost, Nebezpečná příloha, Norman

Určitě si přečtěte


Aktuální číslo časopisu Computer

Zachraňte nefunkční Windows

Jak nakupovat a prodávat kryptoměny

Otestovali jsme konvertibilní notebooky

Velký test 14 herních myší