Editorial - Vitajte na stránkach www.einsty.hostujem.sk
Editorial - Vitajte na stránkach www.einsty.hostujem.sk
Editorial - Vitajte na stránkach www.einsty.hostujem.sk
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
I N F O W A R EVírusový radarTak je tu zasa nový rok a je <strong>na</strong>èase urobi si rekapituláciu.Najprv malá hitparáda. Pod¾a rebríèka firmy Esetsa v prvej päke <strong>na</strong>jrozšírenejších vírusov ocitli: Win32/Klez.H Win32/Yaha.E Win32/BugBear Win32/Sircam Win32/BadTransBlahoeláme tým, èo sa nimi ne<strong>na</strong>kazili. A teraz <strong>na</strong>sledujepreh¾ad výz<strong>na</strong>mnejších udalostí minulého rokuz nášho poh¾adu:JANUÁR 2002 Prvý vírus <strong>na</strong> platforme Shockwave Flash Èerv Win32/MypartyFEBRUÁR 2002 Èerv <strong>na</strong> platforme MSN Messenger (JS/Menger)MAREC 2002 Vírus pre .NET <strong>na</strong>písaný v jazyku C# Èervy W32/Gibe a Win32/Fbound.C Patentový úrad USA vydal patent <strong>na</strong> heuristickúa<strong>na</strong>lýzuAPRÍL 2002 Trój<strong>sk</strong>y kôò JS/IEStart.C Èerv Win32Klez.J a vírus Win32/El_Kern.C Fáma o víruse Jdbgmgr.exeMÁJ 2002 Èerv Benjamin šíriaci sa pomocou P2P siete KaZaAJÚN 2002 Microsoft šíril èerv Nimda <strong>na</strong> CD s VisualStudio .NET v Kórei Èerv <strong>na</strong>pádajúci súbory JPG (W32/Perrun) Èerv <strong>na</strong>pádajúci FreeBSD Apache (Scalper) Èerv Win32/Yaha.EJÚL 2002 Prvýkrát pouitý backdoor ako nástroj <strong>na</strong>zí<strong>sk</strong>anie dôkazov v súdnom ko<strong>na</strong>ní Win32/Frethem.LAUGUST 2002 Skupi<strong>na</strong> autorov a šírite¾ov vírusu Goner predsúdom v Izraeli Win32/Datom.ASEPTEMBER 2002 Prvý vírus <strong>na</strong> platforme TSQL. Sloven<strong>sk</strong>é volebné vírusy VBS/SSIWG.Ra VBS/SSIWG.SOKTÓBER 2002 Èervy Win32/Bugbear.A a Win32/OpaservNOVEMBER 2002 Èerv Win32/Braid.ADECEMBER 2002 Ešte nemáme uzavretý, pretoe tento radar píšemzaèiatkom decembra, ale môeme spomenú aj <strong>na</strong>sledujúceinfiltrácie:WIN32/KORVAR.AÏalšie názvy: I-Worm.Winevar, WORM_WINEVAR.A,Worm/Bride.C, W32.HLLW.WinevarWin32/Korvar.A je èerv šíriaci sa ako súbory v prílohespráv elektronickej pošty. Napadnutý systém zároveò<strong>na</strong>infikuje vírusom FunLove.4070.Win32/Korvar.A vyuíva pri šírení elektronickoupoštou chybu v programoch Microsoft InternetExplorer 5.01 a Microsoft Internet Explorer 5.5 s názvomIncorrect MIME Header. Podstatou tejto chyby jemonos spusti èerva u len zobrazením náh¾adusprávy, v ktorej je obsiahnutý. Opis chyby sa <strong>na</strong>chádza<strong>na</strong> <strong>www</strong>.microsoft.com/technet/treeview/default.asp?url=/technet/security/ bulletin/MS01-020.asp. Opravatejto chyby, známej od marca 2001, je dostupná <strong>na</strong>adrese <strong>www</strong>.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-027.asp. Ïalšou chybou,ktorú èerv vyuíva, je Microsoft VM ActiveX ComponentVulnerability – táto chyba umoòuje vyko<strong>na</strong><strong>na</strong> cie¾ovom poèítaèi prakticky akúko¾vek akciu. Opischyby, ako aj jej opravu nájdete <strong>na</strong> http://<strong>www</strong>.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-075.asp. Je dôleité <strong>na</strong>inštalova opravyuvedených chýb, pretoe ich vyuíva viacero známychèervov <strong>na</strong> svoje šírenie. Poznámka: V ïalšom texte je <strong>na</strong>miesto me<strong>na</strong> adresára,v ktorom je <strong>na</strong>inštalovaný operaèný systém Windows, ktorý saz pochopite¾ných dôvodov môe líši pri kadej jednotlivej inštalácii,pouitý symbolický zápis %windir%.Èerv prichádza spolu so správou, ktorej predmet jeRe: AVAR(Association of Anti-Virus Asia Researchers).V prílohe takejto správy elektronickej pošty sa <strong>na</strong>chádzajútri súbory: Win????.Txt (12.6 KB)Music_1.htm,Win????.Gif (120 BYTES) Music_2.ceo, Win????.Pif.Namiesto z<strong>na</strong>kov "?" sa v mene súborov <strong>na</strong>chádzajúnáhodné z<strong>na</strong>ky. Súbor Win????.Txt (12,6 KB)Music_1.htm sa pokúša vyui Microsoft VM ActiveXComponent Vulnerability <strong>na</strong> zaregistrovanie prípony.ceo ako prípony pre spustite¾né súbory.Po aktivácii sa Win32/Korvar.A pokúša deaktivovaprocesy, v ktorých názvoch sa vy<strong>sk</strong>ytujú urèitéreazce. To má za následok deaktiváciu mnohých antivírusovýchprogramov a debugerov. V adresári %windir%/Systemvytvorí súbor s názvom WIN????.pif.Namiesto z<strong>na</strong>ku "?" èerv pouije náhodne vybraté z<strong>na</strong>ky,take meno vytvoreného súboru môe by <strong>na</strong>príkladWIN91E0.pif. Tento súbor potom zaregistrujev systémovom registri vo vetváchHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run a vHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices.To zabezpeèí aktiváciu èerva aj po reštarte systému.Èerv posiela svoje kópie <strong>na</strong> adresy, ktoré zí<strong>sk</strong>a zosúborov s prípo<strong>na</strong>mi .htm a .dbx.Èerv po reštarte systému zobrazí okno so správou:Po kliknutí <strong>na</strong> tlaèidlo s textom OK vymae èerv všetkysúbory <strong>na</strong> di<strong>sk</strong>u, z ktorého došlo k jeho aktivácii.WIN32/CHIR.AÏalšie názvy: I-Worm.RunouceWin32/Chir.A je èerv šíriaci sa ako súbor v prílohespráv elektronickej pošty. Navyše má schopnos <strong>na</strong>pádaspustite¾né súbory a súbory HTML ako klasický vírus.Èerv má dåku je 10 799 bajtov a funguje v prostredíoperaèných systémov Windows 9x/ME/NT/2000/XP.Win32/Chir.A vyuíva pri šírení elektronickou poštouchybu v programoch Microsoft Internet Explorer5.01 a Microsoft Internet Explorer 5.5 s názvom IncorrectMIME Header. Podstatou tejto chyby je monosspusti èerva u len zobrazením náh¾adu správy,v ktorej je obsiahnutý. Opis chyby sa <strong>na</strong>chádza <strong>na</strong><strong>www</strong>.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp. Oprava tejtochyby, známej od marca 2001, je dostupná <strong>na</strong> adrese<strong>www</strong>.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-027.asp. Je dôleité <strong>na</strong>inštalovaopravu uvedenej chyby, pretoe ju vyuívaviacero známych èervov <strong>na</strong> svoje šírenie.Èerv prichádza ako súbor p.exe v prílohe správy elektronickejpošty. Správa prichádza z adresy imissyou@btamail.net.cn alebo meno_adresáta@hotmail.com.Win32/Chir.A <strong>na</strong>hrádza reazec meno_adresáta <strong>sk</strong>utoènýmmenom adresáta, ktorému je daná kópia èerva urèená.Predmet správy s èervom je text Hi, i am meno_adresáta. Po spustení súboru sa èerv aktivuje a <strong>sk</strong>opírujesa do súboru %windir%/System/runouce.exe. Tomutonovovytvorenému súboru <strong>na</strong>staví <strong>sk</strong>rytý a systémovýatribút a atribút <strong>na</strong> prístup len <strong>na</strong> èítanie. Aktiváciutejto svojej kópie po reštarte systému zabezpeèívytvorením poloky Runonce vo vetve registra systémuHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Jej hodnotu <strong>na</strong>staví <strong>na</strong>C:\WINDOWS\SYSTEM\runouce.exe.WIN32/GALIL.AÏalšie názvy: W32/Lagel.A, Win32.Holar.CWin32/Galil.A je èerv šíriaci sa ako súbory v prílohespráv elektronickej pošty. Je <strong>na</strong>písaný vo Visual Basicua následne <strong>na</strong> zmenšenie dåky <strong>sk</strong>omprimovaný pakovaèomUPX. Jeho dåka je 80 626 bajtov.Èerv Win32/Galil.A prichádza so správou, ktorejpredmet je Fwd: Crazy illegal Sex. V prílohe takejto správyelektronickej pošty sa <strong>na</strong>chádza súbor iLLeGaL.exe.V tele správy je text:HiiIs it really illegal in da USA?who knows :PIf u have a weak heart i warn uDON'T see dis Clip.Emagine two young children havincrazy sex fo da first time togetha !loooool i'm still wonderin where thierparents were?Good Fuck , oh sorry :">i mean Good Luck ;)ByePo spustení súboru iLLeGaL.exe dôjde k aktivácii èervaWin32/Galil.A, èo sa prejaví zobrazením ok<strong>na</strong> s animáciou:Po dobehnutí animácie sa zobrazí ïalšie okno:Èerv sa <strong>sk</strong>opíruje pod menom iLLeGaL.exe do adresára%windir%/System. Zároveò v tomto adresárivytvorí súbory Mplayer.exe a SMTP.OCX. Vo vetve registrasystému HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesvytvorí poloku iLLeGaL s hodnotou "C:\%windir%\SYSTEM\Mplayer.exe". Tento k¾úè zabezpeèí spustenieèerva po reštarte operaèného systému.Na záver svojej èinnosti èerv odošle správu elektronickejpošty so svojou kópiou <strong>na</strong> všetky adresy elektronickejpošty, ktoré sa mu podarí zí<strong>sk</strong>a. V tele èervasa <strong>na</strong>chádza okrem iných aj text, ktorý je pravdepodobnepodpisom autora:Made By ZaCkerV tele èerva sa <strong>na</strong>chádza kód, ktorý môe vymazaobsah di<strong>sk</strong>ov D:, E:, F: a G:.To by bolo <strong>na</strong>teraz všetko a <strong>na</strong> záver prajeme, abysa vám infiltrácie v novom roku vyhýbali.Miroslav Trnka a Peter Kováè102 PC REVUE 1/2003