Vítejte na serveru Sítě, viry, Windows a další...

 
  Přihlásit/Vytvořit účet    

Vyberte si
· Domů
· Archív článků
· Často kladené dotazy
· Odkazy
· Programy ke stažení
· Slovníček pojmů
· Témata článků
· Vyhledávání

Vyhledávání


Pokročilé vyhledávání

Aktuální hoaxy
·Automatický postup Miloše Zemana do druhého kola prezidentských voleb 2018
·Zveme Vas privydelat si (20171215)
·Air Bank Váš bankovní úcet je omezen (20171120)
·Srovnání odlišných konzerv od Hamé - květen 2016
·Oznameni o kreditni karte Dos:257800226786638 (20171031)
·Exekucni prikaz 085962/2017-822 (20171030)
·TT-Payment for PO#2019345 (20171003)
·Faktura-201719724 (20170925)
·Oznameni o zmenach v regulaci pro podani priznani k dani z prijmu pravnickych osob v Financni urad (20170921)
·Phillip Dante - mrtvé Zákazník v naší bance (20170919)

více...

Virová scéna od srpna do listopadu 2003
Publikováno: Pátek, 25.06. 2004 @ 02:11:11 CEST Od: Schuster

Počítačové viry Pojďme si zrekapitulovat virovou scénu posledních tří měsíců. Chybět nebudou odkazy ke stažení removerů a ke konci článku pár rad jak se před některými typy virů chránit. Předpokládám, že většina virů v článku uvedených jsou již takřka "dávnou" minulostí, ale jejich popis budiž varováním...

I-Worm/Mimail.J - 18.11.2003
I-Worm/Mimail.I - 14.11.2003
I-Worm/Sober.A - 27.10.2003
I-Worm/Swen - 18.09.2003
I-Worm/Sobig.F - 09.08.2003
Worm/Nachi - 18.08.2003
Worm/Lovsan alias Blaster - 12.08.2003

I-Worm/Mimail.J - 18.11.2003
Poštovní červ. E-mail má v příloze soubor www.paypal.com.pif, což je samotný virus. Po spuštění viru se zobrazí líbivý formulář vybízející k zadání čísla účtu a identifikačního (přístupového) kódu (PIN). Tento vir je pro uživatele nebezpečný právě tím, že je určen pro sběr těchto privátních informací a jejich následné odeslání do Internetu (na e-mailové adresy kaspersky@mail15.com, ekaspersky@mail15.com a admin@kaspersky.cjb.net (samosebou že jakákoliv podobnost s čímkoliv je čistě náhodná)). V počítači oběti se vir usadí ve vytvořených pomocných souborech ve složce, kde jsou nainstalovány Windows. Tento program se pak spouští pomocí zápisu do registru, klíče [...WindowsCurrentVersionRun] Společnost ALWIL Software přišla s removerem, který je ke stažení ZDE.

I-Worm/Mimail.I - 14.11.2003
Stejně jako výše uvedená varianta je úkolem viru sbírat privátní informace sloužící k přístupu na pěněžní účet oběti. Infikovaný mail má v příloze soubor www.paypal.com.pif. Po spuštění viru se opět zobrazí formulář pro sběr privátních informací uživatele. Ty se ukládají v souboru C:ppinfo.sys. Informace jsou odesílány na e-mailové adresy na serverech centrum.cz a mail15.com. Na pomoc opět přišla společnost ALWIL Software - remover je ke stažení ZDE.

I-Worm/Sober.A - 27.10.2003
Posílá se jako spustitelná příloha e-mailu. Po jejím spuštění se zobrazí chybové hlášení File not complete!, avšak mezi tím si již vytváří virus na disku několik svých kopií. Samotná příloha mailu má velikost přibl. 63488 bajtů. Tato velikost je různá. Napsaný je ve Visual Basicu. Vir se spouští se startem systému zápisem do registru, klíče [...MicrosoftWindowsCurrentVersionRun]. Společnost ALWIL Software nabízí remover ZDE.

I-Worm/Swen - 18.09.2003
Po spuštění uživatelem se virus nakopíruje do adresáře Windows pod náhodným jménem a zaregistruje se do klíče Run. Dále upraví následující položky registru tak, aby při pokusu o spuštění dané přípony byl spuštěn i virus:
    HKLMSoftwareCLASSESexefileshellopencommand
    HKLMSoftwareCLASSESscrfileshellopencommand
    HKLMSoftwareCLASSESscrfileshellconfigcommand
    HKLMSoftwareCLASSEScomfileshellopencommand
    HKLMSoftwareCLASSESbatfileshellopencommand
    HKLMSoftwareCLASSESpiffileshellopencommand
    HKLMSoftwareCLASSESregfileshellopencommand
Virus se ke svému šíření pokouší využít e-mail, sdílené disky a IRC. Má v sobě obsažen odkaz na webové počítadlo přístupů webcounter.cz (server provozuje společnost Brain Systems) tak, aby měl jeho autor přehled o šíření viru. Získaná data byla provozovatelem serveru zpracována a jsou k dispozici na adrese webcounter.cz/swen/. Ve své podstatě jde o zajímavou situaci - došlo k dokonalému zdokumentování šíření viru.

Pro odstranění viru I-Worm/Swen je možno použít např. utilitu FixSwen.exe firmy Symantec. Po jejím spuštění proběhne automatické léčení a provede se oprava registrů. Po ukončení léčení se doporučuje počítač restartovat. Následně je vhodné spustit test antivirového systému pro ujištění, že se vir již na PC nenachází.

Pokud již byl virus smazán, není díky změnám v registru provedených virem možno spustit jakýkoli program. Pak je nutné přejmenovat utilitu FixSwen.exe na jméno, pod kterým byl virus dříve v počítači. Jméno tohoto souboru hlásí Windows při pokusu o spuštění jakéhokoli programu jako nenalezené. Takto přejmenovaný remover je nutné nakopírovat do adresáře Windows a restartovat počítač. Po naběhnutí Windows se spustí léčení, po jehož ukončení je nutný opět restart. Poté již je virus odstraněn.

I-Worm/Sobig.F - 09.08.2003
V srpnu se začal světem Internetu šířit vir I-Worm/Sobig.F.. Společnost Message Labs prohlásila, že na základě dat získaných z jejích monitorovacích stanic byl infikován každý 17. e-mail.. Sobig se šíří e-poštou na adresy, které vyhledává ve známých souborech adresářů, databázových souborech, dokumentech, dočasných souborech sítě Internet atd.. Příloha infikovaného mailu může mít název application.pif, details.pif, document_9446.pif, document_all.pif, movie0045.pif, thank_you.pif, your_details.pif, your_document.pif nebo wicked_scr.scr.. Samotný vir je na disku vždy uložen v adresáři, ve kterém jsou nainstalovány Windows, v souboru WINPP32.exe. Své spouštění si zajistí opět zápisem do registru, klíče [...MicrosoftWindowsCurrentVersionRun]. Zajímavé je to, že se rovněž kopíruje do složek [WindowsAll UsersStart MenuProgramsStartUp] nebo [Documents and SettingsAll UsersStart MenuProgramsStartup] na místních i sdílených discích. U českých verzí Windows je tedy vznik nové složky STARTUP v nabídce Start varující (!). S removerem přišly společnosti ALWIL Software(aswclnr.exe) a společnost Network Associates, Inc. (stinger.exe).

Worm/Nachi - 18.08.2003
Síťový červ, který v časové posloupnosti jako druhý využil chybu v DCOM RPC rozhraní. Napadány jsou systémy WinNT. Virus se uložil v adresáři [%windir%system32winsdllhost.exe], měl velikost 10.240 bitů. Ke své činnosti si vytvářel interfejs, kudy probíhal přenos dat protokolem TFTP. K tomuto účelu si okopíroval aplikaci tftp.exe do adresáře, ve kterém se nacházel a pojmenoval ji jako svchost.exe.. A tady vznikl problém - aplikace svchost.exe byla zjistitelná ve správci úloh a tam taky byla možnost ji ukončit, avšak měla stejný název jako korektní systémová služba - co s tím. Vir se spouštěl zápisem do registru, klíče [...MicrosoftWindowsCurrentVersionRun]. Po spuštění vir vyhledával v síti další nezabezpečené počítače a pokud našel, tak to bral jako situaci, kterou bylo potřeba využít. Pokud by byl virus v činnosti bez omezení, došlo by k jeho sebedestrukci v roce 2004. S removerem přišla společnost Symantec.

Worm/Lovsan alias Blaster
Nečekané restarty počítače. Snahy o to je nějakým způsobem eliminovat tak, aby bylo vůbec možno z Internetu stáhnout opravu pro zasažený systém, remover či aktualizaci antivirového systému. Dotazy uživatelů, zda jsou ohroženy rovněž systémy Win9x a ME. To a řadu dalších problémů přinesl vir Worm/Lovsan, který způsobil epidemii a rozruch jako žádný jiný červ nebo virus předním. Sám o sobě neměl v úmyslu škodit uživatelům počítačů, ve kterých se bez jejich vědomí usídlil. Jeho podstata spočívala v následném provedení distribuovaného útoku na live update servery společnosti Microsoft. Problémy s restarty počítačů byly vedlejším působením viru.

Ten se do počítačů dostával přes TCP port 135, který je určen pro RPC službu kdy může dojít k jejímu ukončení. Při této situaci je výchozím nastavením opravné akce právě restart po 60ti sekundách od události.

Virem byli ohroženi uživatelé systémů Windows NT4, 2000, XP, 2003. Vir nenapadal systémy Windows 95, 98, ME, kde něco jako služba RPC neexistuje.

Chyba je zveřejněna na serverech společnosti Microsoft na této adrese. S removery přišly společnosti Symantec (FixBlast.exe) a Network Associates, Inc. (stinger.exe).


Podtrženo, sečteno. Památníček je hotov. Když se na něj podíváme tak vidíme, že se všemi zde uvedenými viry táhne jako rudá nit problém s otevíráním neznámých příloh e-mailů. Žádný z virů není schopen samovolného spuštění, vyjma síťových červů, kde je jediná možnost ochrany průběžná aktualizace systému a rezidentní štít aktualizovaného antivirového systému. Přílohy infikovaných mailů můžou mít "atraktivní" název tak, aby přiměl uživatele ke spuštění (movie0045.pif, thank_you.pif, wicked_scr.scr atd.). Objevil se problém zdvojené přípony tak, jak prezentuje vir I-Worm/Mimail. V případě výchozího nastavení systému Windows by neměla být přípona .pif vidět, varuje ikona programu. Další zajímavostí je výše uvedený zápis do registru systému virem I-Worm/Swen a patřičné následky. Stejně tak je zřejmé, že kromě viru I-Worm/Sobig.F autoři ostatních virů volili jako způsob opakovaného spouštění svých exemplářů zápis do registru systému, klíče [...MicrosoftWindowsCurrentVersionRun].


Zdroje:
www.grisoft.cz
www.symantec.cz
www.viry.cz
www.nai.com

 
Anketa ke článku
Jaký používáte antivirový systém?

AVG (Grisoft)
NOD 32 (Eset)
AVAST! (ALWIL Software)
Jiný...


[ Výsledky | Ankety ]

Hlasů: 50
Komentářů 1

Související odkazy
· Více o tématu Počítačové viry
· Další články od autora Schuster


Nejčtenější článek na téma Počítačové viry:
Virová scéna od srpna do listopadu 2003


Hodnocení článku
Průměrné hodnocení: 2.5
Hlasů: 2


Hlasujte pro tento článek:

Výborný
Velmi dobré
Dobré
Povedený
Špatné



Možnosti

 Vytisknout článek  Vytisknout článek

 Poslat článek  Poslat článek


Související témata

Bezpečnost

"Virová scéna od srpna do listopadu 2003" | Přihlásit/Vytvořit účet | 0 komentářů
Limit
Komentáře vlastní jejich autoři. Neodpovídáme za jejich obsah.

Není povoleno posílat komentáře anonymně, prosím zaregistrujte se.


Webmaster: Jiří Schuster


Čas potřebný ke zpracování stránky: 0.079 sekund