VBS/MyBa: Další klon LoveLetteru je tady

Když si někdo stojí na vedení a spustí i virus, který se nepochopitelně maskuje jako spustitelný EXE soubor, tak to už musí být. Kupodivu i takový virus se dostal mezi lidi a šíří se.
Infikované milostné dopisy, tedy e-maily s předmětem I Love You, které se v loňském roce dostaly na hlavní stránky všech informačních periodik, stále poletují světovou sítí, protože se vždy najdou uživatelé, kteří v dychtivém očekávání otevřou přílohu obsahující virus.

Díky velké popularitě a rychlému šíření zaujal tento relativně jednoduchý virus řadu programátorů, kteří vytvořili jeho klony - jedním z mnoha byl například nedávno medializovaný VBS/Anna, který ve světě informačních technologií proslavil blonďatou ruskou tenistku Annu Kournikovovou. Objektivně zhodnoceno jsou viry odvozené z LoveLetteru obvykle produkovány nepříliš schopnými amatérskými programátory, kteří nejsou schopni vymyslet vlastní princip šíření, tak prostě použijí ten, který před nimi vymyslel někdo zkušenější. Ke kódu zajišťujícímu šíření následně naimplantují vlastní funkce, které více či méně modifikují původní vlastnosti viru. Jednotlivé klony se tedy liší nejen svými škodlivými funkcemi, ale i předmětem zprávy, ve které se šíří, názvem přílohy a případně doprovodným textem. Všechny ale mají jedno společné: šíří se prostřednictvím elektronické pošty jako zpráva, která má v příloze soubor s příponou VBS.

Další kategorií virů jsou tzv. červi - jedním z posledních zástupců tohoto druhu je MyBa a infikovat se jím mohou snad jen uživatelé, kteří naprosto ignorují základy bezpečnosti práce s přílohami e-mailových zpráv. Virus je napsán v programovacím jazyku Visual Basic a princip šíření údajně vychází z kódu VBS/LoveLetteru, který byl, podle slov Petra Odehnala ze společnosti Grisoft, poprvé použit již u proslulého makroviru Melissa.

Zpráva s virem má předmět My Babypic, obsahuje text It's my animated baby picture!!! a v příloze je soubor MYBABYPIC.EXE. Jak naznačuje přípona, jedná se o běžný spustitelný program a snad i v té úplně nejhloupější příručce pro začátečníky si přečtete, že spustitelné programy z Internetu mohou obsahovat virus a tudíž se nemají spouštět bez kontroly antivirem. Pokud se tedy někdo infikuje virem MyBa, může to být buď naprosto neznalý člověk, nebo někdo, kdo natolik ignoruje všechna doporučená bezpečnostní opatření, že mu patrně stejně již v počítači řádí několik desítek virů najednou. O tom, že takových nebude málo svědčí skutečnost, že Eugene Kaspersky označil virus pro jeho účinky za velmi nebezpečný a díky svému rozšíření byl zařazen do seznamu In The Wild.

Pojďme se tedy podívat na to, co se stane, když dojde k otevření přílohy. Samozřejmě se spustí kód viru, který nejprve zobrazí fotografii (to aby se uživatel necítil ošizen o slibovaný obrázek). Po uzavření obrázku se virus několikrát zkopíruje do systémové složky Windows pod názvy WINKERNEL32.EXE, MYBABYPIC.EXE, WIN32DLL.EXE, CMD.EXE, COMMAND.EXE a zapíše se do registrů, aby byl spouštěn současně s operačním systémem. Následně rozešle e-maily s výše uvedeným předmětem, textem a přílohou obsahující další kopie viru na všechny adresy z adresáře kontaktů.

Aby si uživatel zapamatoval, že příště nemá spouštět žádné soubory podobného ražení, které mu přijdou elektronickou poštou, provádí s počítačem docela zajímavé věci, včetně poškozování dat. Jmenujme například vypsání textu .IM_BESIDES_YOU_ prováděné přes buffer klávesnice, následné připojení na stránku www.youvebeenhack.com a vypsání některé z následujících zpráv FROM BUGGER, HAPPY VALENTINES DAY FROM BUGGER nebo HAPPY HALLOWEEN FROM BUGGER či vypínání a zapínání funkcí NumLock, CapsLock a ScrollLock.

Kromě toho virus zaplní veškeré volné místo na pevném disku poškodí soubory v závislosti na jejich příponě:

  • VBS, VBE - zničí obsah souboru
  • JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H - vytvoří nový soubor se stejným názvem, ovšem místo původní přípony bude mít tento soubor příponu EXE, zkopíruje se do tohoto souboru a smaže původní soubor
  • JPG, JPEG - s tímto typem souborů udělá virus totéž, co se soubory v předchozím bodě, rozdíl je pouze v tom, že zachová původní název souboru včetně jeho přípony, za kterou přidá další příponu EXE.
  • MP2, MP3, M3U - vytvoří nový soubor se stejným názvem a příponou, přičemž za původní příponu přidá příponu EXE. Do tohoto souboru pak zapíše svůj kód a původnímu souboru nastaví atribut "skrytý".
Virus VBS/Anna vyhrál svým názvem přílohy, který evokoval u méně zkušených uživatelů dojem, že jde o obrázek Anny Kournikovové, spoléhal na naivitu uživatelů a nedělal kromě svého šíření vůbec nic. MyBa je cílen především na uživatele, kteří nedodržují základní pravidla bezpečnosti práce s e-mailem, ovšem funkce tohoto viru jsou podstatně horší. Přitom stačí jen málo - dávat si pozor.
Diskuze (5) Další článek: ASK M3: malý, lehký, výkonný LCD projektor

Témata článku: Windows, Neznalý člověk, Love, PBL, Základ bezpečnosti, Nebezpečná příloha, Škodlivý účinek, Melissa, Stejný princip, Anna, Happy, From, Virus, Baby, Klon, Původní vlastnost, Původní funkce, Ruská klávesnice, Wild, Anno, Šíření, Spustitelný soubor


Určitě si přečtěte

Wi-Fi 6 konečně začíná dostávat smysl. Poradíme, jak ji využít

Wi-Fi 6 konečně začíná dostávat smysl. Poradíme, jak ji využít

** Na trh míří první levné Wi-Fi 6 routery ** Nabídka zařízení, zejména notebooků, každý den roste ** Poradíme, jak nejlépe přejít s domácností na Wi-Fi 6

Tomáš Holčík | 28

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale i tak převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 109

Google dosáhl revolučního milníku v kvantové nadvládě. IBM ale nesouhlasí

Google dosáhl revolučního milníku v kvantové nadvládě. IBM ale nesouhlasí

** Google představil nový kvantový čip s 53 qubity ** Oznámil, že díky němu lidstvo poprvé dosáhlo kvantové nadvlády ** IBM toto tvrzení zlehčuje

Karel Javůrek | 15

Vybrali jsme 21 programovatelných hraček a stavebnic pro děti i jejich rodiče

Vybrali jsme 21 programovatelných hraček a stavebnic pro děti i jejich rodiče

** Získejte děti pro matematiku a základy techniky ** Kupte jim hračku nebo stavebnici, které vdechnou vlastní život ** Vybrali jsme 21 stavebnic pro malé caparty i budoucí experty na A.I.

Jakub Čížek | 10


Aktuální číslo časopisu Computer

Megatest: 20 powerbank s USB-C

Test: mobily do 3 500 Kč

Radíme s výběrem routeru

Tipy na nejlepší vánoční dárky