Červ co rád loví ufouny

Český červ Hydra se šíří tradičně přes e-maily, tradičně se pokouší zapsat do registrů, netradičně se ale snaží zapojit oběť do nedobrovolné účasti na SETI@home.
Není to tak dávno, co se mezi lidmi (naštěstí zatím nijak výrazně) vyskytl nový internetový červ jménem I-Worm.Hydra. Autorem je virový programátor gl_st0rm, který se zaměřuje především na HLL (high-level language) viry a červy. Není tedy náhodou, že je napsán ve VisualBasicu. Aby se alespoň trochu zamaskovala jeho značná velikost, používá komprimační program UPX, po jehož zkomprimování zabírá červ pouhých 12kB.

Samotný červ se šíří prostřednictvím elektronické pošty, jakožto spustitelná (.EXE) příloha. Po jeho aktivaci (spuštění uživatelem) se zkopíruje do adresáře Windows pod jménem MSSERV.EXE a nastaví se pro spouštění v registru Windows v sekcích Run a RunServices.

Potom červ zůstane v paměti Windows jako skrytá aplikace (service, služba), napojí se na MS Outlook a zaregistruje sebe jako obsluha událostí „NewMail“ a „ItemSend“.

Při události „NewMail“ (došel nový e-mail) se červ podívá, zda-li se nemůže jednat o infikovaný e-mail, a v případě že ano, tak e-mail smaže.

Při události „ItemSend“ (e-mail se odesílá) se červ podívá na přiložené soubory, nahradí první přílohu svoji vlastní kopií, přejmenuje příponu na .EXE a odešle e-mail. V případě, že zpráva nemá žádnou přílohu, červ vytvoří náhodné osmiznakové jméno s .EXE příponou pro svoji kopii a e-mail odešle.

V pátek třináctého, od 13:00 do 14:00 červ přidá tento text na začátek e-mailu:

[I-Worm.Hydra] ...by gl_st0rm of [mions]

Červ se snaží, aby možnost jeho detekce a odstranění byla co nejmenší a možnosti šíření co největší, a tak kromě modifikace registru Windows také maže program MSCONFIG.EXE (pomůcka systémové konfigurace) v systémovém adresáři. Také se pokouší najít okna (pro něj teoreticky nebezpečných) právě spuštěných aplikací a odstranit je z paměti:

  • AVP Monitor
  • AntiVir
  • Vshwin
  • F-STOPW
  • F-Secure
  • vettray
  • InoculateIT
  • Norman Virus Control
  • navpw32
  • Norton AntiVirus
  • Iomon98
  • AVG
  • NOD32
  • Dr.Web
  • Amon
  • Trend PC-cillin
  • File Monitor
  • Registry Monitor
  • Registry Editor
  • Task Manager
Taky umí odstranit databázi antivirového programu Kaspersky Anti-Virus.

Pravděpodobně nejzvláštnější věc, kterou červ umí, je instalace programu SETI@HOME (Search for Extraterrestrial Intelligence). Červ se pokouší stáhnout program a uložit ho do systémového adresáře Windows pod jménem MSSETI.EXE z několika FTP serverů:

Dále v systémovém adresáři vytvoří důležité konfigurační soubory USER_INFO.SAH (informace o uživateli, viz dále), VERSION.SAH (informace o verzi SETI@HOME), MSSETI.PIF, RUN_MSSETI.VBS a MSSETI.BAT (to vše pro následné spouštění programu). Potom zaregistruje RUN_MSSETI.VBS v registru Windows.

Soubor USER_INFO.SAH popisuje informaci o zaregistrovaném uživateli a vypadá následovně:

id=2199938
key=1603033966
email_addr=gl_storm@seznam.cz
name=GL_STORM
country=Czech Republic

Jak je vidět, všechny body za vypočítaní balíčků dat se budou připisovat právě autorovi červa. Jedná se o velmi komický případ zneužití výpočetního výkonu počítačů na Internetu (zneužití výpočetní síly pro hledání ufounů), o což zřejmě šlo i autorovi.

Červ již nyní umí odstranit většina antivirových programů, namátkou uveďme třeba Kaspersky Anti-Virus, Symantec a tuzemský AVG.

Diskuze (11) Další článek: Macromedia představila Sitespring

Témata článku: Windows, UFO, Kaspersky, Systémový program, Norman, Nebezpečná příloha, Nebezpečná událost, Search for, Červ, Pouhý začátek


Určitě si přečtěte

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

** Pornografie údajně představuje třetinu internetové obsahu a je technologický tahounem ** Do erotického obsahu postupně zasahuje i virtuální realita ** Kromě vizuálního vjemu se pracuje také na virtuálním uspokojení toho hmatového

Jan Dudek | 28

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

** Portál občana už funguje, vyřídíte na něm první požadavky ** Funkce se budou postupně rozšiřovat ** Web je docela moderní a přehledný

David Polesný | 65

Apple dal do MacBooku procesor Core i9 a 4TB SSD. Ani se neptejte, co za to chce...

Apple dal do MacBooku procesor Core i9 a 4TB SSD. Ani se neptejte, co za to chce...

** Apple aktualizoval notebooky MacBook Pro, dostaly nový hardware ** Těšit se můžete na nové procesory a větší paměť ** Cena nejvybavenějšího modelu překročí 200 tisíc korun

Martin Miksa | 99

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

** Systém Windows 10 umí spoustu užitečných drobností ** O mnoha praktických funkcích pravděpodobně ani nevíte ** Poznejte užitečné tipy, které se vám mohou hodit každý den

Vladislav Kluska | 36

Budoucnost elektroniky: čeští vědci stojí za revolučním čipem, který nemá ve světě obdoby

Budoucnost elektroniky: čeští vědci stojí za revolučním čipem, který nemá ve světě obdoby

** Čeští vědci pod vedením Tomáše Jungwirtha vyvíjí nový typ revolučního paměťového čipu ** Zatímco v současnosti elektronika pracuje s elektrony, v budoucnu to budou spiny elektronů ** Čipy budou moci být klidně i 1 000x rychlejší a úspornější

Karel Javůrek | 32

Sex a rozmnožování při mezihvězdné cestě: Kolik lidí je potřeba pro let k Proximě Centauri?

Sex a rozmnožování při mezihvězdné cestě: Kolik lidí je potřeba pro let k Proximě Centauri?

** Vědci spočítali, jak velká by musela být posádka pro vícegenerační let k nejbližší hvězdné soustavě ** Proxima Centauri se nachází 4,3 světelných let od nás ** Za současných technologií bychom k ní letěli 6300 let

Petr Kubala | 53

Šmírovačka kamerami Googlu: Koukněte se, co nového zachytily na Street View

Šmírovačka kamerami Googlu: Koukněte se, co nového zachytily na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 44

Rekordy počasí: V Česku to ještě jde, skutečné extrémy zažívají jinde

Rekordy počasí: V Česku to ještě jde, skutečné extrémy zažívají jinde

** Teplotní extrémy dokážou překvapit. Seznamte se s rekordy v Česku i ve světě ** Rekordní hodnoty jsou mnohdy až k neuvěření ** Zjistěte, kdy ke bylo největší horko, zima, déšť či vítr

Karel Kilián | 7


Aktuální číslo časopisu Computer

Velký test 18 bezdrátových sluchátek

Vše o přechodu na DVB-T2

Procesory AMD opět porážejí Intel

7 NVMe M.2 SSD v přímém souboji