Wirusy

1 przyk│ad  pt. MkS_Vir Pro(mocja)

Niezidentyfikowana dotychczas osoba spod adresu mks@kki.net.pl rozsy│a│a "promocyjne wersje" programu MkS_Vir. Pod tak▒ przykrywk▒ ukryto chytrego "backdoora". Mo┐emy podejrzewaµ, ┐e jest to nastΩpna "radosna" tw≤rczo╢µ polskiego pochodzenia. Instaluje siΩ taki ko± troja±ski w katalogu Windows jako WININI.EXE. Powoduje jego uruchamianie przy ka┐dym starcie systemu. Zmienia m.in. nazwΩ edytora rejestru z REGEDIT.EXE na EDITR.OLD. Sam program zawiera prawdopodobnie procedury pozwalaj▒ce na zdaln▒ kontrolΩ nad komputerem. Poniewa┐ nie ujawni│ siΩ jeszcze klient do niego nie wiemy, co dok│adnie on "mo┐e" ze naszym systemem wyprawiaµ. Jak go siΩ pozbyµ, je┐eli ju┐ do nas trafi│ ? ProponujΩ odwiedziµ serwis MkS_Vira:   http://www.mks.com.pl/   lub wykorzystaµ oryginalny program antywirusowy MkS_Vir.

2 przyk│ad pt. Evil - Trojan Horse via ActiveX

NastΩpny nowatorski pomys│ pozwala ukryµ konia troja±skiego w ka┐dej stronie WWW lub li╢cie w HTML. Podczas ogl▒dania odpowiednio spreparowanej strony (przegl▒darka M$ IE) na danym komputerze instaluje siΩ "Evil". Przy nastΩpnym uruchomieniu systemu usi│uje on wykonaµ download (poprzez FTP) dowolnego konwencjonalnego trojana. Sygna│em rozpoznawczym rozpoczΩcia dzia│ania programu jest pojawienie siΩ plik≤w Windows95.hta lub WindowsNT.hta w folderze Autostart. Evil jest pierwszym koniem troja±skim bazuj▒cym na technologii ActiveX. Stwarza to nowe, powa┐ne zagro┐enia, poniewa┐ taki czy siaki backdoor mo┐e ukrywaµ siΩ teraz w stronie www. Zara┐enie (atak) mo┐e nast▒piµ poprzez zwyk│▒ wizytΩ na stronie internetowej zawieraj▒cej spreparowan▒ kontrolkΩ ActiveX. Po za│adowaniu strony taka kontrolka jest automatycznie uruchamiana. Doprowadza to do instalacji konia troja±skiego w systemie naszego komputera. Inn▒, mo┐liw▒ drog▒ infekcji jest r≤wnie┐ poczta elektroniczna. Dlaczego ? A dlatego, ┐e wiΩkszo╢µ klient≤w pocztowych obs│uguje listy w formacie HTML.. W taki spos≤b tak┐e e-mail z ukryt▒-do│▒czon▒ kontrolk▒ ActiveX mo┐e zostaµ otwarty w programie pocztowym. I infekcja systemu bez problemu - jest. (Ten przyk│ad jest do│▒czony specjalnie m.in. dla Slasha w zwi▒zku z aktualnymi mo┐liwo╢ciami worm≤w/wirus≤w.  ;-)  ).  

3 przyk│ad pt. Chory ? Chorszy ? Zakochany ?

Ostatnia nepidemia wirusa XRomeo & XJuliet pokaza│a ╢wiatu, ┐e Polska jest krajem o wyj▒tkowo s│abym poziomie antywirusowych zabezpiecze±. "E-kochankowie" przez kilka dobrych dni "kosili" r≤wno komputery w polskim INecie. WiΩkszo╢µ krajowych serwer≤w pocztowych zosta│a powa┐nie przeci▒┐ona na skutek samoczynnego rozsy│ania siΩ wirusa XRomeo & XJuliet. Atak na polski INet nast▒pi│ podobno w czwartek- 30 listopada br. XRomeo & XJuliet jest mutacj▒ wirusa rodzimej produkcji o podobnej nazwie. W "udoskonalonej" wersji jest on skuteczniejszy i silniejszy. Wg specjalist≤w robak jest du┐o gro╝niejszy od s│awnego I LOVE YOU. Wirus rozprzestrzenia siΩ e-mailem w formie za│▒cznik≤w. Rozsy│a siΩ samoczynnie wykorzystuj▒c adresy z ksi▒┐ki adresowej zainfekowanego PC. Zara┐a w ten spos≤b kolejne komputery bez wiedzy u┐ytkownika. Problem dotyczy wy│▒cznie klient≤w pocztowych z rodziny Outlook. Wirusa rozpoznaµ mo┐na po u┐ywanych przez niego kilkunastu tytu│ach wiadomo╢ci pocztowych. NajczΩ╢ciej spotykane to: Romeo & Juliet, where is my Juliet, where is my Romeo. Je╢li komputer zosta│ zainfekowany przy pr≤bie otwarcia plik≤w s▒ one czΩsto bezpowrotnie przez wirusa zniszczone. W ostatnich dniach ujawni│ siΩ kolejny wirus o nazwie Prolin.A, kt≤ry "korzysta" z Outlooka. W tym miejscu ciekawostka - imituje on film wykonany w technice Flash'owej. Podejrzewa siΩ, ┐e jego "ojcem"  jest najprawdopodobniej tak┐e Polak - wielbiciel systemu Linux. Wygl▒da na to, ┐e wyra╝nym celem hackera (nick: Pingwin) jest zniechΩcenie nas do korzystania z klienta pocztowego M$ Outlook. 

Po przeczytaniu powy┐szych przyk│ad≤w zastanawiasz siΩ pewnie, co ni┐ej podpisany mia│ do przes│ania. Sprawa jest bardzo prosta. W zasadzie nic wielkiego, nic strasznego siΩ nie sta│o. Ale sprowokowany postanowi│em  - na sw≤j spos≤b - te┐ odreagowaµ na tak▒ i podobn▒ "tw≤rczo╢µ". Ot≤┐ temat do tego artyku│u urodzi│ siΩ z powodu jednego/kilku anonimowych fan≤w PTiK'a, kt≤rzy maj▒ specyficzny dar pisania i przesy│ania do serwisu r≤┐nych pochwa│, uwag i postulat≤w itp. streszczaj▒cych siΩ w 3 s│owach : " ...Ty zqrvielu (auto-cenzura pisowni oryginalnej) jeden ...". Ot≤┐ zamieniaj▒c wymienione przyk│ady + setki innych na w│asny wniosek potwierdza siΩ po raz kolejny, IMHO obowi▒zuj▒ca r≤wnie┐ w sieci, a dotycz▒ca u┐ytkownik≤w, pewna zasada statystyczna . Na jej podstawie i przeanalizowanych dowod≤w-zebranych informacji wysz│y mi takie (zaokr▒glone) liczby:

10 %   to po_busy (inne okre╢lenia dozwolone)

80 %   to normalne ludzie i ludziska

10 %   to wybitni (uzdolnieni, talenty)

Kto jest lepszy, gorszy ? - PTiKu╢ na to Tobie nie odpowie. Jednak zawsze mo┐esz liczyµ na ludzk▒ pamiΩµ  i historiΩ.

 

Bluegem
fsa@go2.pl
http://www.ptik.ivg.pl 

 

 Copyright © 2000 PTiK. Wszystkie prawa zastrze┐one.
 Kopiowanie tekst≤w w ca│o╢ci lub we fragmentach bez zgody redakcji i autor≤w zabronione.