Konec října přinesl devět nových virů

Uplynulý týden se opět objevila celá řada nových virů, které mohou zkomplikovat život zejména všem uživatelům Internetu.
Současné trendy se dají shrnout do několika bodů:
  • šíření elektronickou poštou (zpravidla vytažením adres z adresáře MS Outlooku).
  • využívání síťových prostředků (sdílených disků a složek s povolenou možností zápisu).
  • automatická aktivace při zobrazení zprávy v nejčastěji používaných e-mailových klientech (tj. MS Outlook a Outlook Express).
Základní obrana proti potenciálnímu nebezpečí tedy kromě instalace antivirového programu spočívá v instalaci bezpečnostních záplat a opatrnosti při spouštění příloh e-mailových zpráv.

VBS.Masteal.Trojan

Trojský kůň napsaný v populárním VB Scriptu. Nepříjemný je v podstatě pouze tím, že sbírá e-mailové adresy a odesílá je do Internetu. Po spuštění zkopíruje všechny adresy z adresáře MS Outlooku do souboru c:\shell.dll.txt a následně tento soubor rozešle na několik adres nadefinovaných autorem viru. Dá se předpokládat, že takto získané kontakty míní autor použít k zasílání nevyžádaných mailů.

W32.Redesi.B@mm

Červ používající oblíbenou techniku založenou na důvěřivosti uživatelů. Rozesílá se elektronickou poštou s tím, že se vydává za bezpečnostní záplatu od Microsoftu. I když Microsoft nikdy nerozesílal podobné věci mailem, stále se najde dost uživatelů, kteří přílohu spustí a infikují svůj počítač.

Virus byl napsán ve Visul Basicu a je zkomprimován pomocí UPX. Po spuštění se nejprve zkopíruje do souborů C:\Common.exe, C:\Rede.exe, C:\Si.exe, C:\UserConf.exe a C:\Disk.exe a nastaví těmto souborům příznak "skrytý". Následně zobrazí dialogové okno s textem Your Windows Update has been successful a rozešle na všechny adresy z adresáře MS Outlooku zprávu s předmětem: Important news from Microsoft. Just recieved this in my email I have contacted Microsoft and they say it`s real ! a textem Due to the recent spate of email spread computer viruses Microsoft Corp has released a security patch. Please apply the attached file to your Windows computer to stop any futher spread or these malicious programs. Regards Microsoft Support. Přiložen je jeden z výše zmíněných souborů, který je samozřejmě další kopií viru.

Kromě toho Redesi.B modifikuje registry tak, aby se spouštěl současně s operačním systémem, a 11. listopadu 2001 přidá do souboru autoexec.bat dva řádky: první při startu počítače zobrazí textovou hlášku, druhý obsahuje příkaz ke zformátování disku C. Tato funkce nefunguje pod Windows řady NT, 2000 a XP, neboť zmíněné operační systémy soubor autoexec.bat nepoužívají.

VBS.Dayumi

V tomto případě se jedná spíše o programátorskou hříčku než o opravdový virus. Pokud aktivujete infikovaný skript, zkopíruje se virus do souboru C:\Windows\System\Mskernel32.vbs, následně vytvoří v oblíbených položkách a na ploše zástupce směřujícího na webové stránky autora a přenastaví tamtéž domovskou stránku Internet Exploreru. Jestliže uživatel uvede vše do původního stavu, Dayumi po dalším startu systému provede vše znovu, což si zajišťuje úpravou registrů.

W32.DpBot.Trojan

Trojský kůň, jehož jediným cílem je šíření sebe sama. Nezpůsobuje tedy žádné škody, nicméně i přesto je dobré si na něj dávat pozor. K šíření používá kanálů IRC a v případě spuštění se kopíruje do souboru C:\Windows\System\Bckfired.exe, který aktivuje při každém startu systému.

W32.Toal.A@mm

Tento virus, označovaný též jako W32.AntiWar, patří do kategorie více nebezpečných. Jedná se o červa šířícího se skrze elektronickou poštu v souboru Binladen_brasil.exe. Zpráva má náhodně generovaný předmět, který poukazuje na situaci v Afghánistánu a neobsahuje žádný text.

Využívá známé bezpečnostní díry v programech MS Outlook a Outlook Express, díky které se aktivuje již pouhým otevřením zprávy nebo zobrazením náhledu (záplatu a informace o této díře můžete najít na http://www.microsoft.com/technet/security/bulletin/MS01-020.asp <*http://www.microsoft.com/technet/security/bulletin/MS01-020.asp)).

Po spuštění nejprve prověří, zda je již počítač infikován, a v případě negativního výsledku vytvoří v systémové složce soubor Invictus.dll zajišťující infikaci spustitelných souborů včetně programů uložených na sdílených discích. Kromě toho nastavuje sdílení disku C. Dále vytváří soubor, jehož název se skládá ze tří náhodných písmen a přípony exe, a tento soubor aktivuje při každém startu operačního systému (toho dosahuje změnou shell=Explorer.exe za shell=Explorer.exe vytvořený_soubor.exe v System.ini). K vyhledávání spustitelných souborů používá nedokumentované API funkce správce úloh.

Poněkud netradiční je způsob, kterým tento virus získává e-mailové adresy ke svému rozesílání - nepoužívá adresář MS Outlooku, ale prohledává tzv. "White Pages" ICQ, kde jsou k nalezení kontakty na uživatele komunikačního programu ICQ. K rozesílání infikovaných zpráv nepotřebuje klienta elektronické pošty a připojuje se přímo k SMTP serveru uživatele, jemuž zprávu adresuje.

V operačních systémech Windows 95 navíc ukládá cachovaná hesla pro přístup k síťovým prostředkům.

Z dalších funkcí jmenujme například pokusy o deaktivaci antivirového programu, náhodnou změnu pozadí pracovní plochy a barvy textů, zobrazování dialogových oken a vykreslování čtyřúhelníků na obrazovku.

Backdoor.Oblivion

Trojský kůň umožňující neautorizovaný přístup k počítači. Po spuštění se zkopíruje do systémové složky jako ZipLoader32.exe a jednoduchou modifikací registrů a souborů System.ini a Win.ini zajistí své spuštění při každém startu operačního systému.

W32.Anset.Worm

Internetový červ napsaný v programovacím jazyce Delphi. Šíří se e-mailem v příloze Ants3set.exe, přičemž se vydává za freewarový vyhledávač trojských koňů. Ke své distribuci využívá adresy získané z adresáře kontaktů MS Outlook.

Pokud spustíte přílohu, zkopíruje se virus pod náhodným jménem do složky Windows. Následně si vytáhne z adresáře kontaktů všechny adresy a rozešle na ně zprávu s předmětem ANTS Version 3.0 a textem Hi, Anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen kostenlosen Trojanerscanner. Zum installieren einfach die angefügte Datei ausführen. Attached you will find the brand new Version 3.0 of ANTS, the unique freeware trojan scanner. To install ANTS simply run the attached setup file.

Kromě šíření neprovádí žádnou nebezpečnou činnost ani nepoškozuje data uložená v počítači.

W32.ElKern.3326

Souborový virus napadající programy ve složce Windows\Systém. Používá ke svému šíření otevřená sdílení a mapované disky. Pod Windows NT a 2000 virus nefunguje, při spuštění pod Windows 9x v případě, že máte přístup k síťovým diskům se zakázaným zápisem, způsobí pád systému.

Po spuštění se kopíruje do systémové složky jako soubor wqk.exe (pro Windows 9x/Me) nebo wqk.dll (Windows NT/2000). Poté provede úpravu registrů, která má zajistit jeho spuštění při každém startu operačního systému. Z důvodu chyby se mu však pod Windows NT a 2000 úprava registrů nepodaří.

Hlavní činnost spočívá v pokusech o infikaci spustitelných souborů uložených v systémové složce, které opakuje v náhodné periodě. Při vyhledávání používá metody umožňující rozpoznat spustitelný soubor, aniž by tento soubor musel mít příponu exe (přesto podle zpráv nenapadá soubory s příponou dll).

W32.Klez.A@mm

Další poměrně nebezpečný e-mailový červ označovaný též jako W32.Poverty.A, který kromě dalších funkcí používá ke svému šíření sdílené síťové složky a infikuje programy virem W32.ElKern.3326. Podobně jako výše zmiňovaný W32.Toal využívá bezpečnostní díry v programech MS Outlook a Outlook Express umožňující aktivaci pouhým zobrazením náhledu nebo otevřením zprávy. Patrně nejzákeřnější činností tohoto viru je smazání obsahu všech souborů na lokálních a sdílených discích každého třináctého dne v měsíci (tyto soubory sice zůstanou na disku, ovšem budou mít nulovou velikost).

Zpráva obsahující virus má náhodně generovaný předmět a v příloze spustitelný 57345 bajtů velký soubor. V případě spuštění se tento soubor zkopíruje do systémové složky jako krn132.exe a přes registry si zajistí spouštění při každém startu operačního systému. Dále se pokusí deaktivovat antivirové skenery, prohledat všechny lokální a síťové disky a zkopírovat se na ně jako soubor s náhodným jménem a zdvojenou příponou (tj. například soubor.txt.exe). Nakonec rozešle na všechny adresy z adresáře zprávu s textem I`m sorry to do so,but it`s helpless to say sorry. I want a good job, I must support my parents. Now you have seen my technical capabilities. How much my year-salary now? NO more than $5,500. What do you think of this fact? Don`t call my names, I have no hostility. Can you help me?

Tento text se zobrazí správně pouze v e-mailových klientech s podporou HTML, přičemž při otevření v MS Outlooku či MS Outlook Expressu bez nainstalované bezpečnostní záplaty může dojít k automatickému spuštění přílohy.

Diskuze (8) Další článek: Volný zvyšuje přístupovou kapacitu

Témata článku: Microsoft, Windows, Neautorizovaný přístup, Automatická aktivace, Job, Trojský kůň, Bezpečnostní složka, Zpráva obsahující, Please, Bezpečnostní díra, Čin toho, Nový, Šíření, E-mailová adresa, Nebezpečná příloha, Virus, Systémový disk, Systémový program, Zeus, Spustitelný soubor, Sdílený soubor, Shell, Řijna, Konec, Používaný e-mail


Určitě si přečtěte

Nejlepší notebooky do 10 000 korun: Co má ještě smysl kupovat. A co ne?

Nejlepší notebooky do 10 000 korun: Co má ještě smysl kupovat. A co ne?

** Notebooky s cenou do deseti tisíc korun jsou plné kompromisů ** Existuje několik modelů dobře použitelných pro nenáročné použití ** Vhodnou alternativou jsou tablety nebo repasované počítače

David Polesný | 94

David Polesný
Jak vybrat notebookNotebooky
Archivovat data do cloudu, na HDD, SSD, DVD, nebo Blu-ray? Co je nejvýhodnější?

Archivovat data do cloudu, na HDD, SSD, DVD, nebo Blu-ray? Co je nejvýhodnější?

** Kam doma natrvalo uložit data? Vyplatí se ještě optická média? ** Jaké kapacity disků a médií má smysl koupit? ** Cenovou výhodnost si ukážeme na příkladech s 2TB úložištěm

Lukáš Václavík | 118

Lukáš Václavík
ZálohováníÚložištěPevné disky
Japonská MANA může být 80× výkonnější než sebelepší tranzistorový procesor

Japonská MANA může být 80× výkonnější než sebelepší tranzistorový procesor

** Tranzistory současných počítačů vyzařují při přepínání teplo ** Na Tokijské univerzitě proto vyvíjejí adiabatické procesory ** Využívají supravodivost a jsou 80× úspornější

Jakub Čížek | 43

Jakub Čížek
TranzistoryProcesoryTechnologie
Uživatelé hlásí problémy s jednou z listopadových záplat pro Windows 10
Karel Kilián
Windows UpdateAktualizaceWindows 10
Micro:bit V2: Tuto destičku plnou čipů dokáže naprogramovat i vaše babička

Micro:bit V2: Tuto destičku plnou čipů dokáže naprogramovat i vaše babička

** Chcete se teď hned naučit programovat čipy? ** Nechcete nic instalovat a číst zdlouhavé manuály? ** Naprogramujeme si Micro:bit, který zahraje Tichou noc

Jakub Čížek | 33

Jakub Čížek
Pojďme programovat elektronikuProgramování pro děti
26 užitečných rozšíření pro Chrome: Naučte prohlížeč nové věci

26 užitečných rozšíření pro Chrome: Naučte prohlížeč nové věci

** Prohlížeč Chrome obsahuje širokou škálu funkcí, neumí ale všechno ** Jeho schopnosti můžete rozšířit pomocí rozšíření ** Vybrali jsme pro vás zajímavé a užitečné doplňky

Karel Kilián | 44

Karel Kilián
Doplňky do prohlížečeChromeProhlížeče
Nejlepší notebooky do 20 000 Kč. Tipy, co se dnes vyplatí koupit

Nejlepší notebooky do 20 000 Kč. Tipy, co se dnes vyplatí koupit

** S cenou do 20 tisíc lze vybrat solidní notebook na práci i hry ** Přenosné notebooky nabídnou i kovová těla a rychlý hardware ** Možná největší problém je nedostupnost, nejžádanější kusy jsou vyprodané

David Polesný | 33

David Polesný
VánoceNotebooky
Google chystá funkci, která z chytrého Gmailu udělá hloupý Gmail
Lukáš Václavík
SoukromíGmailGoogle

Aktuální číslo časopisu Computer

Jak prodloužit výdrž notebooku

Velké testy: gamepady a inkoustové tiskárny

Důkladný test Sony Playstation 5