Dokonalou souhru představuje symbióza červa jménem W32.Cholera a viru W32.CTX.
Dokonalou souhru představuje symbióza červa jménem W32.Cholera a viru W32.CTX.
W32.Cholera
W32.Cholera je 32bitový červ napsaný v programovacím jazyku C++. Jeho tělo obsahuje zašifrovaný text
CH0LERA - Bacterium BioCoded by GriYo / 29. Šíří se prostřednictvím elektronické pošty podobným způsobem jako ExploreZip. Přiložený soubor je ve formátu MIME, má název
SETUP.EXE, ikonu InstallShieldu a je velký 49 187 bajtů. Pokud tento soubor spustíte, zobrazí se dialogové okno s textem:
Cannot open file: it does not appear to be a valid archive. If you download this file, try downloading the file again.
Během toho se aktivuje virus W32.CTX, o němž si povíme o něco níže.
W32.Cholera nejprve prohledá všechny lokální a sdílené disky, na nichž hledá adresáře WINDOWS, WIN95, WIN98, WIN nebo WINNT. Do všech nalezených složek se pak zkopíruje sebe sama jako RPCSRV.EXE a zmodifikuje WIN.INI (v případě, že se jedná o Windows 95), resp. registry (pro Windows NT) tak, aby se tento soubor spouštěl současně se startem systému. Po restartu pak rozesílá informace z registrů vašeho počítače na adresy, které najde v adresáři.
Další šíření si tento červ zajišťuje tak, že prohledá soubory s příponou DBX, EML, HTM, HTML, IDX, MBX, NCH a TXT, na adresy, které v nich nalezne, odešle e-mail obsahující pouze "smajlík" :) a jako přílohu přidá sám sebe.
W32.CTX
W32.CTX je polymorfní souborový virus napadající PE (portable executable) spustitelné soubory. Je produktem červa W32.Cholera a poté, co se dostane do systému je schopen se dál šířit sám. Algoritmus zajišťující jeho polymorfnost (tj. schopnost průběžně měnit svůj kód tak, aby nemohl být rozpoznán antivirovým programem) je mírně vylepšenou obdobou algoritmu, který používá virus Marburg. Některé další funkce si autor vypůjčil a upravil z virů HPS a Parvo.
Identifikovat virus podle konkrétních projevů prakticky nelze, ale dobrým vodítkem může být nefunkčnost některých aplikací, neboť občas W32.CTX při infikaci poškodí původní program.
W32.CTX je napsán v assembleru, podchycuje volání API a nahrazuje je voláním vlastního dešifrátoru viru. Pokud má infikovaný soubor atribut "jen ke čtení" je tento atribut odstraněn a následně nastaven zpět. Tělo viru obsahuje šifrovaný text:
CTX Phage Virus Bio Coded by GriYo / 29A Disclaimer: This software has been designed for research purposes only. The author is not responsible for any problems caused due to improper or illegal usage of it
Jestliže spustíte zavirovaný soubor šest měsíců od infikace ve stejnou hodinu, v níž byl soubor napaden, zobrazí virus vaší pracovní plochu v inverzních barvách a v rozlišení 800x600 pixelů. Na některých systémech ale tato funkce nefunguje.
W32.CTX je schopný šíření i pod Windows NT, nicméně pod tímto operačním systémem může být včas rozpoznán, neboť Windows NT při spuštění kontrolují kontrolní součty některých důležitých souborů.
W32.CTX je zatím posledním výtvorem člověka známého pod přezdívkou GriYo, který patří ke španělské skupině programátorů virů 29A. Tato skupina má za sebou bohatou historii - prvním "produktem" byl W32.Cabanas z roku 1997. GriYo vytvořil několik virů pro Windows 95 včetně multipartitních a polymorfních, které odborníci považují za špatně detekovatelné.
Jak se této povedené dvojce bránit? Stačí trocha opatrnosti a dodržovat pravidlo nespouštět a neotvírat žádný soubor, který dostanete e-mailem.
