Hlavní navigace

Hloupé viry a hloupí uživatelé

Martin Kopta

Badtrans.B neslaví takové úspěchy jako předchozí červi, přesto se ještě najde několik nepoučitelných lidí, kterým se v počítači uhnízdil. A přitom je to velmi jednoduchý vir, kterému se lze snadno bránit. Své zásluhy na úspěšném tažení emailových červů si mohou připsat i správci mailserverů a počítačových sítí. K uživateli by se tento typ viru neměl ani dostat.

Průběh je vždycky stejný: Jednoho dne někdo vypustí do světa vir, který se šíří prostřednictvím Microsoft Outlooku a Microsoft Internet Exploreru. Během pár hodin je připraven antivir, ale to už je zachvácena skoro celá síť. Po několika týdnech nebo měsících se totéž opakuje. Tentýž způsob, tytéž oběti.

W32.Badtrans.B@mm se vrací

Objevil se v pátek ve Velké Británii. Chová se jako červ, šíří se prostřednictvím příloh (různých jmen, velikosti 29.020 bytů) elektronických dopisů, využívá známé chyby v MS Outlooku a MS IE 5.0 a 5.5 v operačních systémech Microsoft Widows. Není třeba ho spouštět, aktivuje se při otevření emailu. Jako první akci nahraje do adresářové struktury hostitele dynamickou knihovnu.

C:\Windows\System\Kdll.dll

Vzápětí infikuje soubor KERNEL32.EXE v témže adresáři. Následně se zaregistruje ve Windows Registry.

HKEY_LOCAL_MACHINE\Software\
   Microsoft\Windows\
   CurrentVersion\RunOnce
   Kernel32 = kernel32.exe

Podle Symantecu nezpůsobuje okamžité škody (na stupnici nebezpečnosti je ohodnocen 20 procenty), „pouze“ zaznamenává uživatelské vstupy (odposlouchává klávesnici) a odesílá na jednu ze svých adres uživatelem zadaná hesla. Je to tedy vir-červ (worm) z rodu trojských koňů. Tento vir může například být použit k získání tajných přístupových hesel nebo pro zneužití platebních karet.

Než jsem začal psát článek, požádal jsem kolegu Tomáše Filípka, který spravuje Antivirovou stránku na Slunečnici, aby mi kopii viru zaslal. Nechal jsem svůj počítač dobrovolně infikovat a vše se skutečně odehrálo zcela automaticky. Dokonce jsem při té příležitosti pravděpodobně odhalil další projev viru: z ničeho nic nešlo napsat písmeno ť, ď nebo ň, pro která neexistuje klávesa, ale musí se skládat. kdykoli po stisknutí klávesy s háčkem [ˇ] se hned vypsaly dva háčky. Odstranění viru je jednoduché. Stačí smazat soubory Kdll.dll, Kernel32.exe a z dočasných souborů poštovního klienta i infikovaný email, na závěr ještě v programu RegEdit odstranit záznam z registry a je po viru.

Na poštu jen s ochranou

Podobný scénář se opakuje každé dva tři měsíce, přitom ochrana je víc než jednoduchá. Vyžaduje trochu sebekázně od uživatelů emailu, trochu prozřetelnosti od majitele počítače a důslednost od správců mailserverů. Právě díky správcům mailserverů se totiž podařilo řádění Batrans.B výrazně omezit.

Čtenáři emailů – Ačkoli se zdá, že nemohli v tomto případě udělat více pro ochranu proti viru, přesto stačí neotvírat podezřelé emaily, nesnižovat zbytečně zabezpečení aplikací, a hlavně okamžitě hlásit podezřelé chování správci počítače. Naprosto zbytečné je rozesílání hromadných emailů s informacemi o viru.

Majitelé počítačů – Určitě by měli vybírat aplikace tak, aby co nejvíce omezili řádění virů. Místo Outlooku lze používat i jiné poštovní programy, místo Exploreru třeba Mozillu nebo Operu. Místo Windows třeba MacOS nebo Linux. Přesto, i když je někdo „nucen“ používat Outlook a Explorer, měl by je pravidelně obnovovat (alespoň jednou za čtvrt roku) a určitě by měl investovat do osobního antiviru a firewallu. Antiviry nyní obvykle mohou obnovovat svou databázi popisu virů online, a tak stačí strpět jednou za čtrnáct dní nebo za týden při startu systému minutové zdržení při automatické obnově databáze.

Správci mailserverů – V tomto případě jim zbývá jediné: antivir nainstalovat na mailserver. Druhou možností je filtrování příchozí pošty, která obsahuje v přílohách spustitelné soubory a v těle skripty nebo iframe. Pokud odesilatel odfiltrované zprávy dostane zprávu, že dopis nebyl přijat z bezpečnostních důvodů, určitě to nebude moci považovat za neoprávněný zásah. V mnoha nadnárodních společnostech takto servery poštu již filtrují. K podobnému kroku by měli přistoupit i správci malých sítí, administrátoři webhostingových společností a ISP.

Nedělám si iluze, že v lednu, nejpozději v únoru bude Internet opět zachvácen nějakým emailovým červem. Jsem si ale naprosto jist tím, že podruhé už nenaletím na stejný trik. A co vy a váš mailserver?

Anketa

Napadl vás v roce 2001 počítačový vir šířený emailem?

Našli jste v článku chybu?

16. 12. 2010 8:12

elena (neregistrovaný)

Nemá někdo z vás tenhle vir aktivní? Potřebovala bych ho poslat jedné paní, která ze mne vylákala peníze a zboží neposlala, dělá to i ostatním, nabídne na váš inzerát, kde hledáte a má lehce výhodnější cenu, potom ale nic nepošle. Obvykle koukám na hodnocení prodávajících, nyní jsem to opomněla a už jsem okradená. kdyby vám někomu udělal trest radost, prosím pošlete jí na kachorrenka@sez­nam.cz něco co ji "povzbudí" v dalších krádežích. Jsou vánoce, asi jí naletí kdekdo.

27. 12. 2001 14:13

Dan Lukes (neregistrovaný)
No, to neni, na druhou stranu, kvuli vykonu je nekdy (vetsinou) lepsi pouzit jinou reprezentaci dat, nez textove ulozeni. V tomto pripade se zda, ze Microsoft zvolil celkem rozumny kompromis - konfigurace sice neni textova, ale existuje (a to v zakladni instalaci) REGEDIT.EXE, ktery funguje i pod DOSem a ktery onu hnusnou databazi dokaze do textoveho tvaru vyexportovat a dokaze take provest (po uprave) import zpatky. Takze, myslim, ze v tomto smeru jste k nim trochu moc prisny.
DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Podnikatel.cz: Zařízení pro EET zbytečně, vrátí vám peníze

Zařízení pro EET zbytečně, vrátí vám peníze

Root.cz: Firefox hodí za rok přes palubu stará rozšíření

Firefox hodí za rok přes palubu stará rozšíření

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte