Prosinec 2000 / Leden 2001
Caution: NEW VIRUS !
scandal !
Zprßva je v HTML formßtu a obsahuje skript, kter² otevφrß p°ilo₧en² soubor xjuliet.CHM. Tento soubor nßpov∞dy pro zm∞nu spouÜtφ dalÜφ p°ilo₧en² soubor - XROMEO.EXE. Verona.B se usadφ v souboru C:\Windows\sysrnj.exe, kter² je asociovßn se soubory s p°φponou:
exe, jpg, jpeg, jpe, bmp, gif, avi, mpg, mpeg, wmf, wma, wmv, mp3, mp2, vqf, doc, xls, zip, rar, lha, arj, reg
PoΦφtaΦovß hav∞¥ (viry, Φervi...) evidentn∞ hned tak nezmizφ, a tak m∙₧ete Φφst tyto virovΘ novinky. Minule jsme hovo°ili o Φervu Verona, kterΘmu se v pr∙b∞hu prosince narodil mladÜφ brat°φΦek, Verona.B (BleBla.B). Verona.B se Üφ°φ relativn∞ ·sp∞Ün∞ i na ·zemφ ╚R, proto ji popφÜeme podrobn∞ji. Jde o Φerva, kter² se Üφ°φ prost°ednictvφm elektronickΘ poÜty. Subjekt takovΘho e-mailu m∙₧e obsahovat jeden z nßsledujφcφch text∙:
Romeo&Juliet where is my juliet ? where is my romeo ? last wish ??? lol :) !!! newborn merry christmas! surprise !
Pokud u₧ivatel soubor s v²Üe uvedenou p°φponou spustφ, dojde k aktivaci sysrnj.exe, kter² p°epφÜe spouÜt∞n² soubor vlastnφm k≤dem (tj. t∞lem Φerva) a p°ipojφ druhou p°φponu. Pokud dojde nap°. ke spuÜt∞nφ souboru MUJPES.JPG, dojde k p°epsßnφ a p°ejmenovßnφ na MUJPES.JPG.EXE. E-mailovΘ adresy budoucφch ob∞tφ (na kterΘ pak odeÜle svoji kopii) bere z äknihy adresô aplikace MS Outlook. P°i odstra≥ovßnφ tohoto Φerva je nutnΘ dodr₧et n∞kterß pravidla. Soubor SYSRNJ.EXE nenφ dobrΘ mazat d°φve, ne₧ dojde k opravenφ klφΦe HKCR\.exe\ v registrech Windows.
Aby t∞ch Φerv∙ nebylo mßlo, je tu dalÜφ, tentokrßt äMade in Czech Republicô. Jmenuje se XTC a vytvo°il ho Benny, pat°φcφ do skupiny 29A. Jako ka₧dΘ Bennyho dφlo je i tohle technologickou bombou. ╚erv se samoz°ejm∞ Üφ°φ prost°ednictvφm elektronickΘ poÜty. Na infikovanΘm poΦφtaΦi zφskßvß dalÜφ e-mailovΘ adresy netypicky z html soubor∙ v adresß°i Temporary Internet Files. Na ty pak rozesφlß svou kopii. XTC by m∞l b²t schopen provozu pod Windows 9x i NT. ╚erv XTC je po viru Win32/HIV dalÜφm v po°adφ, kter² sßm sebe aktualizuje z Internetu. Opravdovou raritou vÜak mo₧nost ovlßdat infikovan² poΦφtaΦ na dßlku prost°ednictvφm IRC kanßlu. ╚erv XTC se toti₧ dokß₧e p°ipojit na IRC server Undernet, p°esn∞ji do kanßlu äxtcdanô. Tam pak jako äosobaô s nßhodn²m jmΘnem Φekß na Bennyho rozkazy, kterΘ na vzdßlenΘm (infikovanΘm) poΦφtaΦi provede. Mno₧stvφ Φlen∙ takovΘho kanßlu (mφstnosti) bude do znaΦnΘ mφry zßviset na poΦtu infikovan²ch poΦφtaΦ∙. Benny m∙₧e zadßvat p°φkazy vÜem p°φtomn²m osobßm-Φerv∙m na kanßle-mφstnosti äxtcdanô, p°φpadn∞ jen jednomu vybranΘmu (v privßtnφ sekci). ╚erv dokß₧e p°ijφmat okolo t°iceti p°φkaz∙ (reset vzdßlenΘho poΦφtaΦe, odvirovßnφ vzdßlenΘho poΦφtaΦe...).
B∞hem prosince se objevil dalÜφ Φesk² virus, tentokrßt Ülo o makrovirus pro Word 97/2000, kter² dostal jmΘno W97M/Ftip. Autorem je neznßmß osoba, °φkajφcφ si gl_st0rm. W97M/Ftip se op∞t Üφ°φ elektronickou poÜtou (podobn∞ jako Melissa). Zajφmavostφ je, ₧e t∞lo takovΘ e-mailovΘ zprßvy obsahuje text:
Chtel si ftipy, tak tady je mas!!! ;))) [ _doplneno_skutecne_jmeno_uzivatele_ ] --- Odchozφ zprßva neobsahuje viry. Zkontrolovßno antivirov²m systΘmem AVG (http://www.grisoft.cz). Verze: 6.0.219 / Virovß bßze: 103 - datum vydßnφ: 5.12.2000
P°ipojeno je tedy i äum∞lΘô hlßÜenφ antivirovΘho systΘmu AVG 6.0, ₧e äOdchozφ zprßva neobsahuje viryô. To m∙₧e n∞kterΘ u₧ivatele zmßst p°i rozhodnutφ, zda p°ilo₧en² soubor ftip.doc spustit, Φi ne.
W97M/Ftip neobsahuje ₧ßdnou destruktivnφ akci.
Netrvalo dlouho a v pr∙b∞hu ledna 2001 vypustil gl_st0rm do sv∞ta svΘ dalÜφ dφlo: Φerva Win32/Hermes. Ten se samoz°ejm∞ Üφ°φ el. poÜtou. P°φloha, soubor m∙₧e b²t pojmenovßn nßsledovn∞:
Seti@home 3.x to 4.0 upd.exe Seti@home_twk.exe Seti_patch.exe Lunetic!.exe CIH.exe Energy.exe ftip.exe Navidat.exe Click_ME!.exe Cenik.exe Lunetic.scr fucking.scr micro$haft.scr matrix.scr reboot.scr Pamela.scr techno.scr funny!.scr Hermes.scr School_in_da_flame.scr
Jak dodßvß Petr Odehnal z Grisoftu (AVG antivirus): äZa zmφnku snad jeÜt∞ stojφ, ₧e vÜechny t°i znßmΘ verze tohoto wormu se sna₧φ nainstalovat na poΦφtaΦi soubor User_inf.sah. Pokud na zasa₧enΘm poΦφtaΦi b∞₧φ projekt SETI@home (http://setiathome.ssl.berkeley.edu/), tak bude poΦφtat dßl, ale "body" se zaΦnou p°ipoΦφtßvat do "ratingu" autora viru (gl_storm@seznam.cz). Asi tφm cht∞l zlepÜit svou pozici na ₧eb°φΦku, momentßln∞ je na 564885. mφst∞. :-)ô".
Jak prozradil sßm autor Φerva I-Worm/Hermes, nem∞l by se s nφm nikdo v reßlu setkat. T∞lo Φerva toti₧ obdr₧eli pouze n∞kte°φ pracovnφci v antivirov²ch firmßch.
╪ada antivirov²ch firem informovala v pr∙b∞hu ledna 2001 o novΘm makroviru W97M/Melissa.W. N∞kterΘ ho tak obdivovaly, ₧e Melissu.W p°irovnßvaly skoro k I_Love_You, ostatnφ o nφ psaly z povinosti. O co tedy jde ? W97M/Melissa.W je vlastn∞ _skoro_ p∙vodnφ W97M/Melissa.A, kterß proÜla skrz Word 2001 pro Macintosh. Jak prohlßsil Petr Odehnal (Grisoft software - AVG antivirus), äProblΘm je v tom, ₧e Office 2001 pro Macintosh je p°eklßdan² jin²m kompilßtorem ne₧ Office pro Wintel (Windows+Intel, "odbornß" zkratka P. Odehnala, pozn. Igi :-) . Odnesly to n∞kterΘ binßrnφ struktury, kterΘ majφ troÜku jinΘ velikosti. P°i normßlnφm p°enosu dokumentu to nevadφ, proto₧e Word tyhle struktury pou₧φvß pouze v rßmci jednΘ platformy a pokud naΦφtß dokument z MacovskΘ verze, tak ho vlastn∞ "importuje" a tyhle struktury si vygeneruje znovu.ô
Cel² problΘm se toΦφ kolem toho, ₧e n∞kterΘ antiviry nedokß₧φ takto upraven² makrovirus detekovat. Nap°φklad u AVG 6.0 lze tento problΘm vy°eÜit sta₧enφm novΘ aktualizace b228 (z www.avg.cz).
JeÜt∞ struΦn² popis makroviru W97M/Melissa.W:
Üφ°φ se elektronickou poÜtou (subjekt zprßvy: äImportant
Message From { jmΘno u₧ivatele }ô, t∞lo zprßvy: äHere is
that document you asked for ... don't show anyone else ;-)ô, p°φloha
- soubor: äanniv.docô). Po spuÜt∞nφ infikovanΘ p°φlohy se
Melissa.W sna₧φ odeslat svou kopii na dalÜφch 50 adres z "knihy
adres" aplikace MS Outlook (ne Outlook Express).
To je vÜe, nashledanou p°φÜt∞ !
P°ipravil Igor Hßk (igi@viry.cz), Igiho strßnka o virech: www.viry.cz.